近期，央視新聞報道稱，以“中銀會議”“銀聯會議”“抖音會議”命名的App都是詐騙軟件，這些軟件通過冒充平臺客服實施資金竊取。 詐騙分子謊稱受害人開通了“自動扣費保險”或“直播會員”，誘導下載名稱帶官方色彩的會議軟件，并要求開啟屏幕共享或遠程控制。一旦受害人按指示操作手機銀行，詐騙分子即可實時竊取密碼、驗證碼等敏感信息，甚至直接操控手機轉賬。

近期，國內某IP攝像頭被曝存在高危漏洞（CVE-2025-7503滿分10分），攻擊者可通過未公開的Telnet服務，直接獲取設備根權限。 該漏洞源于固件AppFHE1_V1.0.6.0，默認開啟且無法關閉的Telnet服務，攻擊者利用硬編碼憑證即可獲得root shell完全控制權，可能導致篡改攝像頭畫面、植入惡意軟件、篡改文件系統或發動網絡攻擊等。同時，供應商未提供禁用Telnet的選項或補丁、用戶手冊、Web界面均未提及此服務存在。

近日，埃隆·馬斯克旗下xAI推出的Grok-4模型上線僅48小時，即被NeuralTrust研究團隊通過組合攻擊技術成功越獄。 研究人員結合Echo Chamber和Crescendo兩種多輪對話攻擊手段，前者通過跨對話重復惡意概念誘導模型降低防御，后者則從無害話題逐步升級至惡意請求。全程未使用明顯關鍵詞，僅需額外兩輪對話即突破安全護欄，成功率達67%獲取武器制作指導、50%的毒品制作和30%毒素信息，此次攻擊暴露當前AI安全機制的重大缺陷。

近期，據外媒報道，哥倫比亞大學遭受了一次復雜的網絡攻擊，黑客入侵了學校的數據系統，導致學生和教職員工無法訪問電子郵件賬戶和教育軟件。據報道，黑客竊取了該校師生的社會安全號碼（SSN）、公民身份文件、大學頒發的身份證號碼、員工工資和其他敏感記錄。

近期，江民反病毒中心發現，朝鮮黑客組織正通過npm包實施新一輪軟件供應鏈攻擊。 該組織在2025年6月至7月間上傳了67個惡意npm包，其中28個包含名為XORIndex的隱蔽加載程序，總下載量超1.7萬次。XORIndex會收集主機信息并泄露至黑客控制的服務器，隨后通過eval()執行惡意JavaScript載荷。此載荷會下載第二階段惡意軟件BeaverTail，專門竊取用戶加密貨幣錢包和瀏覽器數據，最終獲取并執行第三階段后門程序InvisibleFerret。

近日，江民反病毒中心在Linux內核的NFT子系統pipapo set模塊中發現一個高危雙重釋放漏洞。該漏洞允許本地非特權攻擊者通過構造特制的Netlink消息觸發內核內存損壞，進而實現本地權限提升。攻擊者利用該漏洞的關鍵在于一種獨特且可靠的雙重釋放機制。

往期推薦