数十款假钱包插件涌入Firefox商店，盗取加密钱币

首页 > 安全钻研 > 安全传递 > 安全简讯

数十款假钱包插件涌入Firefox商店，盗取加密钱币

颁布功夫 2025-07-04

1. 数十款假钱包插件涌入Firefox商店，盗取加密钱币

7月2日，网络安全公司Koi Security最新披露，Firefox官方附加组件商店正遭逢大规模恶意扩大法式攻击，超过40款假装成主流加密钱币钱包的插件持续窃取用户敏感数据。这些仿冒利用覆盖Coinbase、MetaMask、Trust Wallet等八大驰名品牌，通过植入恶意代码实时捕获钱包凭证及助记词，攻击者借此可齐全节造受害者数字资产。钻研揭示，该黑客组织选取双沉糊弄战术：一方面，直接克隆开源钱包代码并注入恶意逻辑，通过"输入/点击"事务监听器筛选长度超过30字符的密钥信息；另一方面，伪造数百条虚伪五星好评混合视听，甚至混入大量一星差评造作"可信度"。技术分析显示，恶意代码通过暗藏谬误对话框实现齐全静默运行，受害者资产被盗后往往误以为正常买卖，导致损失难以追忆。Koi Security追踪发现，该攻击行动至少持续至4月，每周均有新型恶意插件上线。最新案例显示，上周仍有仿冒钱包通过Mozilla审核流程。只管Mozilla宣称已部署自动化风险评估系统，但截至报路颁布，无数涉事插件仍可正常下载。

https://www.bleepingcomputer.com/news/security/dozens-of-fake-wallet-add-ons-flood-firefox-store-to-drain-crypto/

2. 思科忠告攻击者可凭静态密码远程收受IP电话系统

7月2日，网络安全领域再响警报，思科系统公司颁发在其主题通讯产品中垂危移除一个高危后门账户。该缝隙（CVE-2025-20309）影响Cisco Unified Communications Manager（原CallManager）及SME Engineering Special版本15.0.1.13010-1至15.0.1.13017-1，允许攻击者通过无法批改的静态root凭证远程获取设备最高权限。作为全球企业IP电话系统的中枢平台，Unified CM治理着数百万台设备的呼叫路由、配置战术及语音服务。这次披露的缝隙源于开发测试阶段遗留的硬编码账户，该账户未在出产版本中禁用，且默认痛处直接露出于公网。思科安全布告证实，攻击者无需任何身份验证即可通过该后门以root权限执行肆意号令，齐全节造受影响设备。只管尚未发现野表攻击样本，但日志分析显示，/var/log/active/syslog/secure蹊径已纪录有关入侵痕迹，治理员可通过file get activelog syslog/secure号令检测异常登录。与以往缝隙分歧，这次事务无一时缓解措施，思科仅提供两种建复蹊径：升级至2025年7月颁布的15SU3版本，或垂危装置CSCwp27755补丁。该缝隙被评定为最高严沉等级（CVSS 10.0），攻击者可借此横向渗入内网，窃取通话纪录、篡改语音邮件，甚至将企业电话系统转化为僵尸网络节点。

https://www.bleepingcomputer.com/news/security/cisco-removes-unified-cm-callManager-backdoor-root-account/

3. Forminator插件高危缝隙威胁60万WordPress网站

7月2日，全球超60万WordPress网站正面对严格安全威胁，其使用的Forminator表单插件被曝存在高危肆意文件删除缝隙（CVE-2025-6463，CVSS 8.8）。该缝隙允许攻击者无需认证即可删除服务器关键文件，蕴含主题配置文件wp-config.php，最终导致网站齐全失控。安全团队强烈建议当即升级至1.44.3版本以建复此风险。缝隙主题源于插件的entry_delete_upload_files()函数存在蹊径验证缺点。当治理员算帐恶意表单提交时，攻击者可机关蕴含蹊径遍历字符串（如../../../wp-config.php）的表单字段，触发服务器删除肆意文件。一旦wp-config.php被删，WordPress将自动沉置为装置模式，攻击者借此可篡改数据库凭证并植入后门，实现远程代码执行。技术分析显示，该缝隙利用前提极为宽松：仅需指标网站启用Forminator插件且存在可被删除的表单纪录。攻击者既可手动提反目意表单，亦可利用自动化工具批量扫描脆弱站点。

https://cybersecuritynews.com/forminator-wordpress-plugin-vulnerability/

4. 弗吉尼亚格洛斯特县遭勒索软件攻击，当局雇员数据泄露

7月4日，今年4月，美国弗吉尼亚州格洛斯特县产生一路针对处所当局的勒索软件攻击事务，导致3527名现任及前任当局雇员的敏感信息被盗，引发社会对网络安全威胁的宽泛关注。这次事务中，黑客成功入侵该县信息系统，窃取了蕴含社会安全号码、驾照信息、银行账户详情、健全保险号码及医疗纪录等高度敏感数据，对幼我隐衷和财富安全组成严沉威胁。格洛斯特县位于弗吉尼亚州东部，距首府里士满约一幼时车程，人丁约4万。事务产生后，该县行政主座卡罗尔·斯蒂尔于本周正式向受影响雇员发出通知，确认数据泄露事实，并暗示已礼聘网络安全专家协助系统复原，同时向联国调查局（FBI）网络犯罪部门及弗吉尼亚州警员局网络融合中心报案。值妥贴心的是，只管该县曾于4月22日至23日期间颁布网络中断忠告，但尔后未持续更新事务进展，仅强调“在持续监控影响”。调查显示，这次攻击与名为BlackSuit的勒索软件团伙有关。该组织于5月15日在暗网颁布帖子，宣称对格洛斯特县事务掌管，并指控县方回绝就赎金发展交涉。

https://therecord.media/virginia-county-says-ransomware-attack-exposed-ssns

5. 巴西CIEE One平台数据泄露事务：敏感信息遭窃并在暗网销售

7月3日，网络安全公司Resecurity披露巴西重要实习与学徒项目服务平台CIEE One产生沉大数据泄露事务，导致大量敏感幼我信息（PII）及文件被窃并在暗网销售。这次事务中，威胁行为者通过露出的谷歌云存储桶入侵系统，盗取了蕴含身份纪录、联系方式、医疗汇报及文档扫描件等高价值数据，随后由地下数据经纪商"888"在暗网平台进行买卖。CIEE One由巴西CIEE商学院整合中心运营，为蕴含Bradesco银杏注Caixa经济银杏注Claro电信等在内的顶级金融机构及能源、科技领域企业提供招聘服务，衔接数万名专业人士与巴西本土及跨国公司。由于其平台汇聚了用于布景调查和招聘流程的海量敏感数据，成为网络犯罪分子的沉点指标。被盗信息极易被用于身份偷窃、金融诓骗等犯法活动，对企业和求职者组成双沉风险。据Resecurity分析，这次入侵源于云存储服务配置不当，露出的谷歌云存储桶因不足根基安全防护成为攻击入口。

https://securityaffairs.com/179609/data-breach/cybercriminals-target-brazil-248725-exposed-in-ciee-one-data-breach.html

6. Hunters International勒索软件颁发停运并提供免费解密工具

7月3日，全球驰名勒索软件即服务（RaaS）组织Hunters International于近日颁发正式终场运营，并罕见解向所有受害企业提供免费解密工具，成为首个自动烧毁赎金要求的网络犯罪集体。该组织在暗网颁布的申明中称，此举旨在"表白善意并援手受影响公司复原数据"，同时强调关关决定经过"慎沉思考"，但未明确提及具体原因。Hunters International自2023岁暮崛起，因代码特点与已遣散的Hive勒索软件高度类似，被安全机构视为其潜在改版。该组织选取多平台攻击战术，其恶意软件支持Windows、Linux、FreeBSD等系统及x64、ARM等架构，具备跨平台习染能力。从前两年间，该团伙对全球近300家企业提议攻击，赎金要求从数十万至数百万美元不等。这次停运并非忽然。2024年11月，该组织曾预报将因"法律审查加强和盈利能力降落"关关。同期，威胁谍报公司Group-IB披露其正谋划转型，打算通过改名为"World Leaks"的新品牌专一数据偷窃，使用升级版泄露工具发展纯勒索行动，不再加密文件而是直接威胁曝光数据。这一动向批注，只管Hunters International主体终场运营，但其技术资产可能以新状态持续活跃。

https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-shuts-down-after-world-leaks-rebrand/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研