2025年12月网络安全威胁情报速递
威胁情报研究团队,结合数据分析和机器学习领域的专有技术,分析全球规模最大、最多样化的威胁数据集合之一。团队提供战术威胁情报,为具备韧性的威胁检测与响应提供支持——即使组织的攻击面不断扩大、技术不断演进、对手不断改变其战术、技术和程序。
本情报更新提供了最新的威胁新闻,包括对USM Anywhere检测功能的最新更新,以及发布在开放威胁情报交换平台上的新威胁情报,该平台是全球最大的开放威胁情报共享社区之一。
威胁情报新闻
Npm供应链攻击:Shai-Hulud 再度来袭
早在2025年9月23日,某网络安全与基础设施安全机构就曾警告一场影响500个npm软件包的广泛供应链攻击。这个自我复制的蠕虫以用于上传凭证的仓库名称被命名为“Shai-Hulud”。本月,Shai-Hulud 2.0 蠕虫卷土重来,导致JavaScript生态系统面临其最激进的供应链攻击之一,超过700个npm软件包被感染。
在11月21日至24日期间,Shai-Hulud背后的威胁行为者特洛伊化了数百个热门软件包——包括来自Zapier、ENS Domains、PostHog、Postman和AsyncAPI的包——注入了恶意的preinstall脚本,这些脚本在安装完成前执行。这一策略使攻击者能够早期访问开发环境和CI/CD管道,从而大规模窃取凭证。被盗的机密信息包括GitHub令牌、npm凭证和多云API密钥,这些信息被外泄到攻击者控制的、标记为“Shai-Hulud: The Second Coming”的GitHub仓库中。
与第一次攻击相比,此次影响呈指数级增长:超过25,000个代码仓库被入侵,数百个npm软件包被感染,数千个机密信息遭泄露。蠕虫的自我传播特性将每个受害者都变成了放大器——重新发布恶意版本并注入恶意的GitHub工作流以实现远程命令执行。这次攻击代表了开源生态系统的系统性风险,因为即使是一个被入侵的依赖项也可能级联影响数千个下游项目。建议组织审计依赖项、清除npm缓存、轮换所有凭证、强制执行多因素认证,并加固CI/CD管道以防止进一步扩散。
Operation Endgame:Rhadamanthys信息窃取器基础设施被捣毁
11月中旬,执法机构对网络犯罪生态系统进行了重大打击,捣毁了Rhadamanthys(最猖獗的信息窃取恶意软件家族之一)背后的基础设施。在“Operation Endgame”行动的协调下,某欧洲警政署与某欧洲司法合作组织——连同来自11个国家的当局和超过30个私营部门合作伙伴——在11月10日至14日期间查封了1,025台服务器和20个域名。被破坏的基础设施支撑着数十万个受感染的系统,包含了数百万个被盗的凭证以及对超过10万个加密货币钱包的访问权限,其潜在价值可能达数百万欧元。
Rhadamanthys作为恶意软件即服务平台运营,为网络犯罪分子提供用于凭证盗窃、浏览器数据收集和加密货币钱包外泄的订阅模式。其隐蔽性和可扩展性使其成为勒索软件运营者和访问代理的基石。
追踪、检测与狩猎能力
研究团队创建了以下对手追踪器来自动识别和检测部署的恶意基础设施:ClearFake, ValleyRAT, SystemBC, PureLogs, TinyLoader。此外,还更新了以下追踪器:StealC, Tycoon2FA, 和 XWorm。
ClearFake是一种部署在受感染网站(最常见的是WordPress)上的恶意JavaScript框架,用于提供欺骗性的浏览器更新提示和虚假验证页面(如FakeCAPTCHA)。这种恶意软件依赖庞大且快速移动的基础设施。自本月开始被添加为追踪目标以来,ClearFake的活动激增,在追踪器的统计数据中占据主导地位,其IOC数量接近总数的四分之三。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。
团队已将以下恶意软件/威胁行为者认定为11月期间最活跃的。
图1:2025年11月恶意软件趋势
研究团队的追踪器已为不同追踪家族识别了超过11,616个新的IOC,其中最大的推动力来自ClearFake。11月最繁忙的追踪器包括:
图2:2025年11月研究团队追踪器的新IOC
USM Anywhere检测改进
在11月,研究团队添加或更新了18个USM Anywhere检测规则和5个NIDS检测规则。以下是团队开发的改进和新功能示例:
- 新增规则集,包含针对1password的新检测,如“不可能旅行”、暴力破解后成功认证或禁用MFA等场景。
- 新增检测规则,用于识别修改注册表键
LocalAccountTokenFilterPolicy以获取特权访问的行为。 - 针对Gh0stKCP协议和Danabot活动的NIDS检测规则。
请访问成功中心获取完整的改进列表、新增功能、发现的问题和已创建的任务。
开放威胁情报交换平台
开放威胁情报交换平台是全球最大的开放威胁情报共享社区之一,由来自全球140个国家的33万名威胁研究人员组成,他们每日在平台上发布威胁信息。研究团队验证、分析并丰富这些威胁情报。平台成员受益于集体研究成果,可以参与社区贡献、分析威胁、创建公共和私有的威胁情报共享小组等。
新OTX脉搏报告
研究团队根据其研究和发现,不断在平台上发布新的脉搏报告。脉搏报告是关于威胁、威胁行为者、攻击活动等信息的交互式和可研究的存储库,其中包括对成员有用的危害指标。11月,实验室团队创建了99个新的脉搏报告,为最新的威胁和攻击活动提供了覆盖。以下是最相关的新脉搏报告示例:
- Shai-hulud 2.0 攻击活动瞄准云和开发生态系统
- RONINGLOADER:DragonBreath滥用PPL的新途径
- 俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投递Mythic Agent
