安天网络行为检测能力升级通告（20251019）

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则159条，本期升级改进检测规则132条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025101707建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

近日，研究人员发现多款npm、PyPI和RubyGems恶意软件包利用Discord webhook作为C2渠道，将开发者敏感数据发送至攻击者控制的频道。例如，mysql-dumpdiscord窃取配置文件，sqlcommenter_rails收集系统信息发送至固定webhook。此类攻击可在安装或构建阶段悄然获取.env、API密钥及主机信息，绕过运行时监控。同时，北朝鲜相关组织通过“Contagious Interview”运动上传数百个恶意或拼写相似包，目标锁定Web3、加密货币及技术求职者，诱导其运行带后门的项目，进一步下载BeaverTail、InvisibleFerret等多平台恶意负载，实现凭证、钱包及键盘记录等信息窃取。

此外，安全通报指出，一波冒充LastPass与Bitwarden的钓鱼邮件谎称发生泄露，诱导用户下载“更安全”的桌面客户端。实际上，所下载二进制会安装Syncro MSP代理并进一步部署ScreenConnect远程访问工具——隐藏托盘、定期回连、并尝试禁用安全软件。攻击者可借此远程控制受害主机、部署恶意载荷并窃取密码管理器凭证。LastPass已声明未遭入侵，Cloudflare已屏蔽相关落地页；安全研究建议用户仅通过官方网站获取更新，切勿运行来路不明的安装包。