全球网安事件速递

1. 《工业和信息化领域人工智能安全治理标准体系建设指南（2025）（征求意见稿）》发布

为进一步加强人工智能安全领域标准化工作系统谋划，加快构建保障人工智能产业高质量发展和实现高水平安全的标准体系，工信部发布了《工业和信息化领域人工智能安全治理标准体系建设指南（2025）（征求意见稿）》。【阅读原文】

2.《中华人民共和国网络安全法（修正草案再次征求意见稿）》发布

根据《十四届全国人大常委会立法规划》，国家互联网信息办公室同相关部门进一步研究起草了《中华人民共和国网络安全法（修正草案再次征求意见稿）》，并向社会公开征求意见。【阅读原文】

3. 客户遭勒索攻击，软件供应商被罚超2800万元

英国信息专员办公室（ICO）对英国国家医疗服务体系（NHS）的一家软件供应商处以300万英镑罚款，原因是该供应商出现安全漏洞，导致NHS遭受勒索软件攻击。【阅读原文】

4. Synology Mail Server 漏洞可致攻击者远程篡改系统配置

Synology Mail Server 中被发现存在一个中度严重级别的漏洞。该漏洞允许已通过身份验证的远程攻击者读取和写入非敏感设置，并禁用某些非关键功能。【阅读原文】

5. Mozilla紧急修复Firefox高危漏洞，与Chrome零日漏洞原理相似

在谷歌修复Chrome浏览器中一个已被积极利用的零日漏洞（zero-day）数日后，Mozilla也发布了针对Windows版Firefox浏览器高危安全漏洞的更新补丁。【外刊-阅读原文】

6. 九个存在九年的npm软件包遭劫持，通过混淆脚本窃取API密钥

网络安全研究人员发现，npm软件包注册表上多个加密货币相关软件包遭劫持，这些恶意软件包会窃取环境变量等敏感信息。Sonatype研究员Ax Sharma表示，其中部分软件包已在npmjs.com上存在超过9年。【外刊-阅读原文】

7. Morphing Meerkat新型网络钓鱼工具包利用DNS邮件记录模仿114个品牌

网络安全研究人员发现一种名为SectopRAT的新型高级恶意软件，该木马将Cloudflare的Turnstile验证系统武器化，作为其攻击手段的一部分。【外刊-阅读原文】

8. 被武器化的谷歌广告攻击DeepSeek用户传播恶意软件

网络犯罪分子发起了一项复杂的攻击活动，利用谷歌的赞助搜索结果，针对搜索日益流行的AI平台DeepSeek的用户。该攻击使用了伪造的广告，这些广告出现在Google搜索结果的顶部，模仿合法的DeepSeek广告，但将受害者重定向到设计用于分发恶意软件的恶意网站。【外刊-阅读原文】

9. 澳大利亚法院系统遭数据泄露，涉及敏感文件

澳大利亚新南威尔士州法院系统近日发生严重的数据泄露事件，约9000份敏感文件被盗。此事件引发了警方的高度重视，涉及的文件包括保护受害者的限制令等重要法律文书。【外刊-阅读原文】

10. OpenAI将严重漏洞最高赏金提高至10万美元

人工智能技术巨头OpenAI 将最高漏洞赏金从2万美元提高至10万美元，而这是该公司设立发现基础设施和产品中严重和高危漏洞外包计划的一部分。【外刊-阅读原文】

优质文章推荐

1. Kubernetes：k8s一主两从集群搭建—实现全纪录

从零开始搭建一个高可用的Kubernetes（k8s）一主两从集群，适合初学者和运维人员快速上手。【阅读原文】

2. AD域内网渗透学习——ACL攻击链

记录AD域内网渗透中关于ACL的学习，通过一次靶机的练习和复现，展示了一个完整的ACL攻击利用链。【阅读原文】

3. 云产品渗透的攻击路径和方法

本篇文章主要介绍云产品的相关基础概念，以及后续在云上渗透的攻击路径和方法。【阅读原文】

漏洞情报精华

1.昂捷CRM cwsapprove.asmx SQL注入漏洞

https://xvi.vulbox.com/detail/1905442994052534272

2.家装ERP管理系统 PubUp SQL注入漏洞

https://xvi.vulbox.com/detail/1905461107028529152

3.家装ERP管理系统 GetFeildDs SQL注入漏洞

https://xvi.vulbox.com/detail/1905497574329159680

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册原链接平台账号后方可阅读。