Gemini AI副手引发Google API密钥露出风险

首页 > 安全钻研 > 安全传递 > 安全简讯

Gemini AI副手引发Google API密钥露出风险

颁布功夫 2026-02-28

1. Gemini AI副手引发Google API密钥露出风险

2月26日，近期，TruffleSecurity钻研人员在扫描全球网站时发现，近3000个嵌入在公共JavaScript代码中的Google API密钥存在严沉安全风险。这些密钥正本用于地图、YouTube嵌入、Firebase等服务，在Google推出Gemini AI副手后，其权限被意表扩大至Gemini身份验证，导致攻击者可复造密钥接见私罕见据并滥用API挪用获利。钻研显示，这些露出密钥多部署于金融机构、安保公司、招聘企业等组织的网站源代码中，部门密钥自2023年2月起便持续露出。TruffleSecurity通过测试Gemini API的/models端点验证了密钥的有效性，发现单日最高可产生数千美元用度。问题本原在于，开发者此前将Google云API密钥视为非敏感数据公开，而Gemini推出后，这些密钥忽然获得更高权限却未被实时觉察。钻研人员于2025年11月21日向谷歌汇报缝隙，谷歌历时数月于2026年1月13日将其归类为“单服务权限提升”。谷歌已采取积极措施。

https://www.bleepingcomputer.com/news/security/previously-harmless-google-api-keys-now-expose-gemini-ai-data/

2. ManoMano遭第三方服务商黑客入侵致数据泄露

2月26日，法国DIY电商巨头ManoMano近日披露，其一家第三方客户服务提供商于2026年1月遭逢黑客攻击，导致约3800万用户数据泄露。该公司证实，黑客通过未经授权接见该突尼斯分包商系统，窃取了与用户账户及客服互动有关的幼我信息，蕴含姓名、电子邮件、电话号码及客户服务沟通纪录，但未涉及账户密码或公司系统数据批改。作为欧洲当先的家居装建、园艺产品在线市场，ManoMano在法、比、西、意、德、英六国运营，月均独立访客达5000万。这次事务源于黑客论坛上化名“Indra”的攻击者宣称对入侵掌管，并宣称获取了3780万用户账户及数千份支持工单与附件。网络安全公司Hackmanac指出，泄露本原或与Zendesk数据泄露有关，但ManoMano未直接确认技术细节。事务曝光后，ManoMano当即采取应急措施：禁用有关接见权限、撤销分包商数据接见权、强化接见节造与监控，并同步传递法国国度信息与自由委员会（CNIL）及国度科学与工业治理局（ANSSI）。

https://www.bleepingcomputer.com/news/security/european-dyi-chain-manomano-data-breach-impacts-38-million-customers/

3. 马赛足球俱乐部遭网络攻击，40万用户信息面对风险

2月26日，法国马赛奥猎欹克足球俱乐部（OM）近日证实遭逢网络攻击，成为近期针对大型体育组织网络安全事务的最新案例。该俱乐部成立于1899年，是法甲联赛首创成员之一，并于1993年成为首支夺得欧洲冠军联赛冠军的法国球队。据威胁行为者在黑客论坛披露，其于本月初入侵俱乐部部门服务器，窃取了蕴含40万名员工、球迷及支持者信息的数据库，具体数据涉及姓名、地址、订单纪录、电子邮件及手机号码。攻击者还宣称获取了2050个Drupal CMS账户信息，其中蕴含34名俱乐部员工和1770名贡献者、版主的账户凭证。为证明攻击真实性，攻击者公开了部门数据样本，并试图在论坛销售所谓“2026年2月角逐数据”。俱乐部在周二颁布的申明中确认了攻击事务，但强调“得益于技术团队与专业服务商的急剧响应，事态已得到节造”。目前俱乐部所有业务均在安全环境下正常运行，且无银行信息或密码泄露。然而，俱乐部暗示仍在调查事务具体领域，并已向法国数据�；せ梗–NIL）正式汇报，同时呼吁球迷警惕垂钓攻击及可疑活动。

https://www.bleepingcomputer.com/news/security/olympique-marseille-football-club-confirms-cyberattack-after-data-leak/

4. UAT-10027利用Dohdoor后门攻击美国教育和医疗保健系统

2月26日，Cisco Talos近日披露编号为UAT-10027的威胁集群，该集群自2025年12月起以美国教育及医疗保健机构为指标，部署了新型后门法式Dohdoor。攻击初始阶段通过垂钓邮件触发PowerShell剧本，下载恶意.bat文件并利用DLL侧载技术加载Dohdoor恶意DLL。该后门通过DNS over HTTPS（DoH）与Cloudflare基础设施暗藏C2通讯，将流量假装成合法HTTPS衔接，实现绕过传统安全检测的持续接见。Dohdoor为2025年11月编译的64位DLL加载器，选取双沉解密机造：批量数据使用SIMD指令的XOR-SUB算法处置，渣滓数据通过地位有关公式解密。其C2通讯通过解析Cloudflare的JSON响应获取服务器IP，并仿照curl流量发送HTTPS GET要求下载加密载荷。为躲避EDR检测，Dohdoor会动态定位ntdll.dll中的NtProtectVirtualMemory函数，通过建补系统挪用存根创建直接系统挪用跳转，绕过用户模式钩子。Talos评估以为，只管UAT-10027与Lazarus存在技术关联，但其指标领域特殊性仍需引起有关行业高度警惕。

https://securityaffairs.com/188558/apt/uat-10027-campaign-hits-u-s-education-and-healthcare-with-stealthy-dohdoor-backdoor.html

5. 朝鲜APT37组织提议Ruby Jumper恶意活动

2月27日，云安全公司Zscaler近日披露，由朝鲜国度支持的黑客组织APT37提议的"Ruby Jumper"恶意活动，正通过可移动存储驱动器在物理隔离系统与联网系统间成立荫蔽数据传输通路。攻击链始于受害者打开假装成朝鲜媒体关于巴以矛盾阿拉伯语译本的恶意LNK文件，该文件会部署PowerShell剧本提取有效载荷并启动钓饵文档。剧本首先加载RESTLEAF植入法式，通过Zoho WorkDrive与C2服务器通讯，获取加密shellcode后下载基于Ruby的SNAKEDROPPER加载器。该加载器会装置假装成usbspeed.exe的Ruby 3.3.0运行时环境，并通过每五分钟执行的打算工作代替RubyGems默认文件，实现自动加载。THUMBSBD后门以ascii.rb文件大局下载，掌管网络系统信息、暂存号令文件，并在USB驱动器创建暗藏目录进行数据双向传输，将可移动介质转化为"荫蔽C2中继"。VIRUSTASK则通过代替合法文件为恶意快捷方式，在驱动器有2GB以上空间时触发习染，向新物理隔离设备传布。FOOTWINE间谍软件假装成APK文件，支持键盘纪录、屏幕截图、音视频录造捣倍程操作。

https://www.bleepingcomputer.com/news/security/apt37-hackers-use-new-malware-to-breach-air-gapped-networks/

6. RESURGE恶意软件实现Ivanti设备荫蔽悠久入侵

2月27日，美国网络安全和基础设施安全局（CISA）近日颁布了关于RESURGE恶意植入法式的最新技术细节。该法式被用于利用CVE-2025-0282零日缝隙入侵Ivanti Connect Secure设备，拥有延长启动、复杂网络级躲避和认证技术等个性，可实现荫蔽通讯与悠久性驻留。据CISA分析，RESURGE是一个名为libdsupgrade.so的32位Linux共享对象文件，具备rootkit、bootkit、后门、投放器、代理和隧路等多沉职能。其怪异之处在于不自动向C2服务器发送信标，而是无期限期待特定入站TLS衔接，通过CRC32 TLS指纹哈希规划鉴别攻击者的衔接尝试。当在"web"过程下加载时，它会挂钩"accept()"函数，在流量达到服务器前查抄TLS数据包，若指纹匹配则成立双向TLS会话，不然将流量导向合法Ivanti服务器。攻击者还使用伪造的Ivanti证书进行身份验证，该证书仅用于认证而非加密，且通过互联网明文传输，防御者可将其作为网络署名检测入侵。

https://www.bleepingcomputer.com/news/security/cisa-warns-that-resurge-malware-can-be-dormant-on-ivanti-devices/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研