全球网安事件速递

1. 勒索软件 LockBit 长期开发人员 Rostislav Panev 已被引渡至美国

美国新泽西州联邦检察官办公室当地时间 13 日宣布，臭名昭著的勒索软件 LockBit 的一名长期开发人员 Rostislav Panev 已被引渡至美国，此前其于 2024 年 8 月在以色列被捕。【阅读原文】

2. GitHub遭遇大规模钓鱼攻击：虚假“安全警报”利用OAuth应用劫持账户

近日，一场大规模的钓鱼攻击席卷了GitHub平台上近12,000个代码仓库，攻击者通过发布虚假的“安全警报”问题，诱骗开发者授权一个恶意OAuth应用，从而获取对他们账户和代码的完全控制权。 【外刊-阅读原文】

3. 恶意Adobe和DocuSign OAuth应用瞄准Microsoft 365账户

网络犯罪分子正在推广伪装成Adobe和DocuSign应用的恶意Microsoft OAuth应用，旨在传播恶意软件并窃取Microsoft 365账户凭证。 【外刊-阅读原文】

4. 密克罗尼西亚雅浦州遭勒索软件攻击，医疗系统网络瘫痪

2025年3月11日，雅浦州卫生部检测到勒索软件攻击，随后关闭了网络和数字化医疗系统，以遏制威胁。官员在Facebook上发布了安全漏洞通知，宣布服务仍在继续，但速度较慢。 【外刊-阅读原文】

5. GSMA 确认RCS端到端加密，实现跨平台安全消息传递

全球移动通信系统协会 (GSMA) 正式宣布支持通过富通信服务 (RCS) 协议发送的消息的端到端加密 (E2EE)，为Android和iOS平台之间共享的跨平台消息提供急需的安全保护。 【外刊- 阅读原文】

6. 思科IOS XR漏洞导致路由器BGP进程崩溃

思科近日修复了一个拒绝服务（DoS）漏洞，该漏洞编号为CVE-2025-20115，可能导致未经身份验证的远程攻击者通过发送单一BGP更新消息，使IOS XR路由器中的边界网关协议（BGP）进程崩溃。 【外刊- 阅读原文】

7. 2025年应对远程设备威胁的顶级网络安全工具

2025年，先进的安全解决方案将帮助企业保护敏感数据、确保合规性，并降低与远程设备管理相关的风险。本文将探讨针对这些威胁的有效应对工具。 【外刊- 阅读原文】

8. 上下文合规攻击成功突破多数主流AI模型

一种名为上下文合规攻击（Context Compliance Attack，CCA）的新方法，出乎意料地简单，却能够绕过大多数主流AI系统的安全防护。 【外刊- 阅读原文】

9. 2028年中国网络安全市场规模将超170亿美元，五年复合增长率9.2%

IDC预测，中国网络安全市场规模从2023年的110亿美元增长至2028年的171亿美元，五年复合增长率为9.2%。【阅读原文】

10. 新型微软365钓鱼骗局诱骗用户拨打虚假客服电话

网络安全公司Guardz近日警告微软365用户，提防一种新型的钓鱼骗局，该骗局利用社会工程学策略进行攻击。与普通骗局不同，攻击者利用微软365的基础设施，诱使人们拨打虚假的客服电话，从而危及他们的登录信息和账户安全。 【外刊-阅读原文】

优质文章推荐

1. API安全|深度解析与AI赋能攻防实践

随着AI技术的发展，API攻防对抗已进入智能化新阶段。 【阅读原文】

2. Java代码审计中的SSRF漏洞深度解析

SSRF（Server-Side Request Forgery）服务端请求伪造漏洞，本文从java代码审计的角度去认识ssrf 。 【阅读原文】

3. 针对若依系统nday的常见各种姿势

利用FOFA和鹰图进行资产收集，然后进行渗透测试各个站点，详解若依常见的姿势 。【阅读原文】

漏洞情报速览

1.万户 ezOFFICE selectAmountField SQL注入漏洞
https://vip.tophant.com/detail/1901459449789419520

2.千宜医药信息管理系统 Login SQL注入漏洞
https://vip.tophant.com/detail/1901533517544820736

3.金中智慧养老管理平台 UpLoaderAction 任意文件上传漏洞
https://vip.tophant.com/detail/1901565278299492352

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。