安全简讯（2025.09.17）

1. 娇韵诗遭Everest勒索软件攻击致60万客户数据泄露

9月15日，勒索软件集团Everest声称对法国奢侈护肤品巨头娇韵诗集团发起攻击，并将其数据上传至暗网博客。该团伙宣称获取了娇韵诗超过60万名客户的详细信息，涉及美国、法国、加拿大等地区，数据包括姓名、出生日期、地址、电话号码、电子邮件地址及护肤品/化妆品购买历史等敏感内容。娇韵诗作为总部位于巴黎的奢华护肤品制造商，年收入约20亿欧元，员工规模约8000人，在欧美市场占据重要地位。据Cybernews团队调查，Everest在暗网发布的帖子仅包含部分数据截图作为证据，未提供完整样本，但样本数据疑似来自娇韵诗不同地区的在线商店。研究人员指出，此类大规模个人身份信息可能被用于网络钓鱼、垃圾邮件攻击，或作为身份盗窃的工具。

https://cybernews.com/security/clarins-user-data-breach-everest/

2. Phoenix RowHammer攻击在109秒内绕过高级DDR5内存保护

9月16日，苏黎世联邦理工学院与谷歌联合研究发现，针对SK Hynix DDR5内存芯片的新型RowHammer攻击变种"Phoenix"（CVE-2025-6202，CVSS评分7.1）已突破现有防护机制。该攻击通过反复访问特定内存行触发相邻行位翻转，可在109秒内实现标准DDR5桌面系统的root权限提升，影响范围覆盖2021-2024年生产的15款DDR5芯片。研究证实，尽管DDR5内置片上ECC纠错和TRR目标行刷新等防护措施，仍无法有效抵御Phoenix攻击。攻击者可通过位翻转破坏SSH身份验证（如窃取同地虚拟机RSA-2048密钥）或利用sudo二进制文件提权。实验显示，ECC和TRR等传统防御手段对SMASH、Half-Double等复杂攻击同样失效，而Phoenix更首次在生产级DDR5系统实现端到端提权利用。研究团队指出，DRAM密度扩展导致设备特征尺寸缩小，反而降低了触发RowHammer所需的激活次数，使新型芯片更易受攻击。漏洞敏感性涉及温度、电压、工艺变化、数据模式等多维度变量。作为应对，建议将内存刷新率提升至3倍以阻止位翻转。

https://thehackernews.com/2025/09/phoenix-rowhammer-attack-bypasses.html

3. SlopAds：全球Android广告欺诈行动被揭露并挫败

9月16日，名为"SlopAds"的大规模Android广告欺诈行动被HUMAN的Satori威胁情报团队揭露并挫败。该行动通过Google Play上的224个恶意应用实施，每日生成23亿次广告请求，累计下载量超3800万次，覆盖全球228个国家及地区，其中美国以30%的广告展示量居首，印度和巴西分列二、三位。SlopAds采用多层规避策略，利用混淆和隐写术隐藏恶意行为，逃避Google审核及安全软件检测。若用户通过自然途径安装应用，其表现如常规应用；但若通过威胁者广告活动安装，则触发恶意模块下载。应用利用Firebase Remote Config获取加密配置文件，包含广告欺诈模块、提现服务器及JavaScript负载URL，并验证设备是否为合法用户所有，避免被研究人员或安全软件分析。一旦通过检查，应用下载四张含隐写术的PNG图像，解密重组为"FatModule"恶意软件。激活后，该软件通过隐藏的WebViews收集设备信息，导航至攻击者控制的欺诈域，每日产生超20亿次欺诈广告展示及点击，为攻击者创造非法收入。目前，Google已从Play Store移除所有SlopAds应用，并更新Play Protect功能，警告用户卸载设备上的恶意应用。

https://www.bleepingcomputer.com/news/security/google-nukes-224-android-malware-apps-behind-massive-ad-fraud-campaign/

4. npm供应链遭大规模入侵，187个包被木马化

9月16日，近日，一场名为"Shai-Hulud"的协同蠕虫式供应链攻击在npm平台爆发，至少187个软件包遭入侵并植入自传播恶意负载。该攻击始于@ctrl/tinycolor包（周下载量超200万次），随后迅速扩展至CrowdStrike等知名企业的npm命名空间，形成跨维护者的自动木马化传播链。攻击机制显示，恶意软件通过修改package.json文件注入bundle.js脚本，利用TruffleHog工具扫描主机令牌和云凭证，验证后创建GitHub Actions工作流，将敏感数据泄露至硬编码webhook端点。这种"自我繁殖"特性使攻击能自动感染同一维护者的其他软件包，形成级联效应。受影响企业方面，CrowdStrike迅速删除恶意包并轮换密钥，强调其核心平台未受影响；谷歌Gemini CLI虽源代码安全，但用户需检查安装环境。事件暴露出现代软件供应链的脆弱性，单个维护者账户泄露即可波及数百项目。

https://www.bleepingcomputer.com/news/security/self-propagating-supply-chain-attack-hits-187-npm-packages/

5. 新型FileFix攻击利用隐写术植入StealC恶意软件

9月16日，近日，Acronis发现一种名为FileFix的新型社会工程攻击，该攻击冒充Meta账户暂停警告，通过精心设计的网络钓鱼页面诱骗用户将恶意PowerShell命令粘贴至文件资源管理器地址栏，从而在不知情的情况下安装StealC信息窃取恶意软件。攻击流程显示，钓鱼页面会提示用户点击“复制”按钮获取看似文件路径的“事件报告”，实际复制的是添加了空格的恶意PowerShell命令。当用户将此命令粘贴至文件资源管理器地址栏时，仅显示文件路径，隐藏的恶意命令则被执行。该命令会从Bitbucket下载隐藏在JPG图像中的第二阶段脚本，通过隐写术提取并解密内存中的有效载荷，最终部署StealC恶意软件。StealC可窃取用户设备中的敏感数据，包括Chrome、Firefox等浏览器的凭证和身份验证cookie，Discord、Telegram等通讯应用的凭证，比特币、以太坊等加密货币钱包信息，AWS、Azure等云凭证，以及ProtonVPN、Battle.net等VPN和游戏应用数据，同时具备截取活动桌面屏幕截图的能力。

https://www.bleepingcomputer.com/news/security/new-filefix-attack-uses-steganography-to-drop-stealc-malware/

6. 阿拉斯加ANHC数据泄露，影响6万名患者

9月16日，阿拉斯加州安克雷奇社区健康中心（ANHC）近日遭遇大规模数据泄露事件，黑客组织声称已泄露6万份患者记录。美国联邦调查局（FBI）安克雷奇办事处已注意到该指控，并表示将严肃对待此类事件，但根据政策无法透露调查细节。ANHC官网证实网络存在安全事件，已启动取证调查并下线受影响系统，同时与第三方网络安全专家合作，并通知执法部门。事件影响方面，患者伊丽莎白透露其个人信息（包括社保号、地址、电话等）被黑客通过电子邮件直接泄露。ANHC回应称已向受影响患者提供免费信用监控和身份保护服务，并承诺一年后继续提供身份盗窃保护，但部分患者反映获取服务需主动争取。阿拉斯加新闻源、州公共安全部等多方已收到黑客邮件副本，ANHC还意识到未经授权方联系了社区部分个人。

https://www.alaskasnewssource.com/2025/09/16/fbi-aware-anchorage-health-clinic-data-breach-hackers-claim-60k-patients-impacted/