全球网安事件速递

1. 美情报机构报告声称中国仍是美最大军事和网络威胁，中方驳斥

美国情报机构发布的一份报告称，中国仍是美国最大的军事和网络威胁。发言人郭嘉昆回应，正所谓，拿着锤子的人看什么都像钉子。 【阅读原文】

2. 金融数安政策解读：如何理解数据安全和信息系统的关系？

本篇围绕《办法》中提到与信息系统的关键安全要求，分析银行保险机构如何将数据安全工作嵌入到信息系统中，个人结合经验提供一些思路，供参考。【阅读原文】

3. 微软Security Copilot增加新的AI安全助手，应对钓鱼攻击、补丁管理和无效告警

微软推出新一代AI安全助手，应对钓鱼攻击、补丁管理和告警疲劳，帮助安全团队处理高重复性任务，提升防御效率。 【外刊-阅读原文】

4. 恶意 npm 包修改本地 ethers 库以发起反向 Shell 攻击

网络安全研究人员在 npm 注册表中发现了两个恶意软件包，旨在感染另一个本地安装的软件包。有问题的软件包是ethers-provider2和ethers-providerz，前者自2025 年 3 月 15 日发布以来已被下载 73 次。第二个软件包很可能被恶意软件作者自己删除，因此没有吸引任何下载。【外刊-阅读原文】

5. macOS 用户警惕 ReaderUpdate 恶意软件新版本

据 SentinelOne 报道，macOS 恶意软件加载器 ReaderUpdate 背后的威胁行为者使用 Crystal、Nim、Rust 和 Go 编程语言构建了该威胁的新版本。【外刊-阅读原文】

6. 新Windows零日漏洞泄露NTLM哈希值，非官方补丁已发布

新Windows零日漏洞泄露NTLM哈希值，允许远程攻击者通过恶意文件窃取凭据，影响所有Windows版本。【外刊-阅读原文】

7. Google Chrome 零日漏洞遭黑客利用

卡巴斯基的网络安全研究人员发现，Chrome 浏览器的零日漏洞正被复杂的威胁行为者积极利用。 此后，谷歌发布了紧急安全更新。该漏洞编号为 CVE-2025-2783，允许攻击者通过 Chrome 安全框架与 Windows 操作系统交叉处的逻辑错误绕过 Chrome 的沙盒保护，从本质上导致浏览器的保护措施失效。【外刊-阅读原文】

8. VMware Tools 与 CrushFTP 安全漏洞紧急通报：高风险且无缓解措施

博通公司已发布安全补丁，用于修复 Windows 版 VMware Tools 中存在的一个高严重性安全漏洞，该漏洞可能引发身份验证绕过问题。此漏洞被追踪为 CVE - 2025 - 22230，在十分制的通用漏洞评分系统（CVSS）中获得了 7.8 分的评级。【外刊-阅读原文】

9. 你的数据是如何出现在暗网上的？

随着我们生活的很大一部分转移到网上，我们在网上共享的个人数据量也增加了。网络犯罪分子意识到了这一点，并试图通过一切可能的手段获取这些数据，这些数据对于进一步的犯罪活动很有价值。【外刊-阅读原文】

10. Appsmith 开发工具漏洞使攻击者可执行远程代码

安全研究人员发现了用于构建内部应用程序的流行开源开发平台 Appsmith 中存在多个严重漏洞。 最令人担忧的是 CVE-2024-55963，它允许未经身份验证的攻击者在运行 Appsmith 版本 1.20 至 1.51 的默认安装的服务器上执行任意系统命令。【外刊-阅读原文】

【优质文章推荐】

1. 使用云函数辅助渗透测试

本文将介绍用云函数来辅助渗透测试，以此来隐藏真实的攻击来源。内容包括使用云函数进行端口扫描、Webshell连接等。 【阅读原文】

2. 从JS接口到拿下超级管理员权限

看我如何通过js接口，拿下某地级市大量学校的超级管理员权限 【阅读原文】

3. Web缓存欺骗小试 | 静态扩展缓存方式

认识Web缓存欺骗的攻击原理及成因，通过对应靶场细化知识理解 。【阅读原文】

漏洞情报速览

1. ingress-nginx-controller-admission 准入服务API未授权访问

https://xvi.vulbox.com/detail/1904814482815848448

2. 码支付系统 curl 任意文件读取漏洞

https://xvi.vulbox.com/detail/1904783745274220544

3. 用友U8 CRM eventsetlist SQL注入漏洞

https://xvi.vulbox.com/detail/1904799288614064128

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。