首頁 > 安全研究 > 安全通報 > 安全簡訊

超26.9萬個網站一個月內感染JavaScript惡意代碼

發布時間 2025-06-16

1. 超26.9萬個網站一個月內感染JavaScript惡意代碼


6月13日,網絡安全研究人員近期披露了一項大規模攻擊活動,攻擊者在合法網站上注入使用 JSFuck 技術混淆的惡意 JavaScript 代碼。由于涉及不雅用語,該技術被網絡安全公司命名為“JSFireTruck”。注入代碼會檢查網站引薦來源,若引薦來源為Google、Bing等搜索引擎,受害者將被重定向到傳播惡意軟件、漏洞利用程序、進行流量變現和傳播惡意廣告的惡意網址。在2025年3月26日至4月25日期間,有269,552個網頁被發現感染了使用該技術的JavaScript代碼,4月12日首次出現峰值,單日發現超5萬個受感染網頁。與此同時,Gen Digital揭開了名為HelloTDS的復雜流量分發服務的面紗,該服務通過注入網站的遠程托管JavaScript代碼,有條件地將訪問者重定向到虛假驗證碼頁面、技術支持詐騙頁面等。其主要目標是對受害者設備采集指紋特征后,確定投放內容性質,若用戶非合適目標,會被重定向到良性網頁。攻擊活動入口點是受感染或被控制的流媒體網站、文件共享服務及惡意廣告活動。受害者篩選基于地理位置、IP地址和瀏覽器指紋特征,通過VPN或無頭瀏覽器的連接會被檢測并拒絕。部分攻擊鏈會提供利用ClickFix策略欺騙用戶運行惡意代碼的虛假驗證碼頁面,使機器感染“峰值之光”惡意軟件,該軟件會加載信息竊取程序如Lumma。


https://thehackernews.com/2025/06/over-269000-websites-infected-with.html


2. 超4.6萬Grafana實例未修補漏洞CVE-2025-4123


6月15日,超過46,000個面向互聯網的Grafana實例因未修補客戶端開放重定向漏洞(CVE-2025-4123)而暴露于風險之中,該漏洞可致惡意插件執行與帳戶接管。該漏洞在Grafana Labs 5月21日發布的安全更新中得到解決。研究人員通過關聯數據與平臺在生態系統中的分布,評估出共有128,864個實例暴露在網上,其中46,506個仍在運行存在漏洞的版本,占比約36%。OX Security深入分析發現,攻擊者可通過結合客戶端路徑遍歷和開放重定向機制,誘使受害者點擊惡意URL,從而從威脅行為者控制的網站加載惡意Grafana插件,這些惡意鏈接可在用戶瀏覽器中執行任意JavaScript。該漏洞無需提升權限,即使啟用匿名訪問也可發揮作用,允許攻擊者劫持用戶會話、更改帳戶憑據,并在安裝Grafana Image Renderer插件的情況下執行服務器端請求偽造(SSRF)來讀取內部資源。盡管Grafana中的默認內容安全策略(CSP)提供了一定保護,但無法阻止此類攻擊。OX Security的漏洞表明,CVE-2025-4123可在客戶端被利用,并通過Grafana原生的JavaScript路由邏輯繞過現代瀏覽器規范化機制。


https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/


3. 加拿大第二大航空公司西捷航空遭遇網絡攻擊


6月15日,西捷航空作為加拿大第二大航空公司,正在調查一起影響其部分內部系統和移動應用程序的網絡安全事件。該事件導致多名用戶無法訪問相關系統,但公司強調運營安全未受影響。西捷航空在事件發生后迅速啟動了專門的內部團隊,并與執法部門和加拿大交通部緊密合作,以調查事件原因并盡量減少其影響。公司正致力于保護乘客和員工的敏感數據和個人信息,并對服務中斷表示歉意。目前,關于此次攻擊的具體細節尚不清楚,但西捷航空承諾在獲得更多信息后及時分享。公司建議乘客和員工在共享個人信息時保持謹慎。截至2025年6月14日,西捷航空航班運營安全未受影響,公司正在評估事件影響并迅速解決問題。


https://securityaffairs.com/179027/uncategorized/canadas-airline-westjet-is-containing-a-cyberattack.html


4. SimpleHelp漏洞遭利用,攻擊公用事業計費軟件客戶


6月13日,美國網絡安全機構CISA發出警告,勒索軟件運營商正利用SimpleHelp漏洞對公用事業計費軟件提供商的客戶發起攻擊。被利用的漏洞編號為CVE-2024-57727,該漏洞允許攻擊者檢索敏感信息,如憑證和API密鑰。此漏洞與另外兩個允許攻擊者上傳任意文件并提升權限為管理員的漏洞CVE-2024-57728和CVE-2024-57726于1月份一同得到修補。CISA在發現威脅行為者利用CVE-2024-57727攻擊運行SimpleHelp遠程監控和管理軟件的設備后,于2月份將該漏洞添加到其已知被利用漏洞列表中。5月下旬,Sophos警告稱DragonForce勒索軟件攻擊可能利用SimpleHelp實例漏洞危及托管服務提供商及其客戶的安全。CISA建議軟件供應商、下游客戶和最終用戶立即采取措施修補其SimpleHelp部署并尋找妥協指標。


https://www.securityweek.com/simplehelp-vulnerability-exploited-against-utility-billing-software-users/


5. 韓國票務平臺Yes24遭勒索攻擊,娛樂產業陷入混亂


6月12日,韓國主要票務平臺及在線圖書零售商Yes24于6月9日凌晨遭遇勒索軟件攻擊,導致該國娛樂產業陷入混亂。此次攻擊致使Yes24網站及服務連續四天癱瘓,在線演唱會預訂、電子書訪問和社區論壇功能均無法正常使用,公司雖聲明目標在6月15日前全面恢復運營,但影響已十分顯著。韓國隱私監管機構“個人信息保護委員會”已啟動調查,懷疑此次事件可能導致客戶數據泄露,當局將審查Yes24是否履行了韓國數據隱私法規定的法律義務。當地媒體報道,此次服務中斷引發了連鎖反應,包括樸寶劍、ENHYPEN、ATEEZ及說唱歌手B.I在內的多位韓流明星預售及粉絲活動被迫推遲或取消,部分音樂劇制作方也要求觀眾出示紙質門票或郵件確認函入場,導致部分觀眾因無法提供可驗證票務信息而遭拒入場。Yes24周三聲明已重新掌控管理員賬戶,正努力恢復其他服務,但攻擊者身份目前尚未明確。公司表示尚未確認個人信息外泄,但已向韓國數據隱私機構報告涉及客戶數據未授權訪問的可疑活動,并承諾若后續調查證實個人信息泄露,將立即通知用戶。


https://therecord.media/yes24-south-korea-ransomware-attack


6. 黑客稱債務催收公司CCC遭入侵,900多萬美國人信息泄露


6月13日,威脅行為者聲稱已入侵弗吉尼亞州債務催收公司信用控制公司(CCC),并導致數百萬美國人個人信息泄露。這些黑客在一個數據泄露論壇上發布了相關信息,聲稱竊取了910萬美國人的敏感數據。CCC是一家專注于醫療保健和電信行業的債務催收公司,目前尚未對此事作出回應。研究團隊調查了攻擊者附加在帖子中的數據樣本,發現泄露的信息可能包括全名、電話號碼、性別、年齡、房產信息、抵押貸款數據和貸款類型等。攻擊者通常對擁有大量詳細信息的數據庫感興趣,因為這些數據可用于自動化釣魚郵件詐騙、金融詐騙和身份盜竊。個人身份信息和財務信息的泄露為定制攻擊提供了充足機會,攻擊者可能利用這些信息針對存在財務問題的用戶進行欺詐性財務援助或其他服務的詐騙。值得注意的是,這并非CCC首次遭遇數據泄露事件。2023年,該公司就曾披露一起數據泄露事件,導致超過30萬美國居民的數據泄露,當時泄露的信息包括姓名和社會安全號碼等。


https://cybernews.com/news/credit-control-corporation-data-breach/

上一篇 下一篇