安全公司 Wiz 周三披露了危险等级 10/10 的 React Server 高危漏洞。React Server 被网站和云环境广泛使用，安全研究人员督促管理员尽快打上补丁，因为漏洞极其容易被利用（成功率差不多 100%）。漏洞利用代码已经公开，攻击者可利用漏洞远程执行代码。约 6% 的网站和 39% 的云环境使用 React。受影响的 React 版本包括 v19.0.1、v19.1.2 或 v19.2.1，受影响的第三方组件包括 Vite RSC、Parcel RSC、React Router RSC、RedwoodSDK、Waku 和 Next.js 等。漏洞编号为 CVE-2025-55182，存在于 React Server Components 的 Flight 协议中，源自于不安全的反序列化。

一辆 Waymo 无人驾驶出租车在旧金山碾过了一只未拴绳的狗，而几周前该公司的另一辆无人驾驶出租车撞死了一只备受邻居喜爱的猫。目前不清楚狗的状况。事故发生在 Scott 和 Eddy 街的交叉路口附近。一名自称是乘客的 Reddit 用户发帖称其孩子目睹了整个过程，表示当时他们一家参加完一场圣诞树点灯仪式后回家。美国国家公路交通安全管理局的记录显示，自 2021 年以来 Waymo 无人驾驶出租车至少卷入了 14 起动物碰撞事故。Waymo 发言人对此事表达了遗憾，表示会吸取教训，同时强调该公司的事故伤亡率远低于人类司机。人类司机每年都会在驾车过程中撞到数百万只动物。

Let’s Encrypt 宣布到 2028 年将证书有效期从现在的 90 天缩短至 45 天。此举是为了遵守今年早些时候 Certification Authority Browser Forum (CA/Browser Forum)通过的缩短证书有效期决议。决议要求到 2026 年 3 月 15 日 TLS 证书最长有效期将缩短至 200 天；到 2027 年 3 月 15 日 TLS 证书最长有效期将缩短至 100 天；2029 年 3 月 15 日 TLS 证书最长有效期将缩短至 47 天。Let’s Encrypt 还将缩短验证域名控制权后允许为该域名签发证书的时间间隔，从目前的 30 天缩短至 7 小时。为减少对用户的影响，新的变更将分阶段实施：2026 年 5 月 13 日可选配置有效期 45 天，2027 年 2 月 10 日默认配置有效期 64 天，2028 年 2 月 16 日有效期进一步缩短为 45 天。

韩国电商巨头酷澎发生了 3000 余万个用户账号信息遭泄事件。遭泄的个人信息包含用户姓名、电子邮箱、电话号码、地址，甚至包含部分订购记录。根据韩国 《个人信息保护法》，若企业违反相关法律，可以被处以最多相当于销售额 3% 的罚款。酷澎今年前三季度累计销售额为 36.3 万亿韩元。若从中减去与个人信息泄露案关联度不高的业务部门业绩等，销售额为 31 万亿韩元。若再将其折算为年销售额，罚款或达 1.2 万亿韩元。根据酷澎递交给警方的报告，用户信息泄露非因遭黑客攻击，而由公司中国籍员工外泄所致。该员工早已离职并离境。

SmartTube 开发者上周宣布数字签名泄漏，他发布了使用新签名的新版本应用，督促用户切换到新版本。SmartTube 是 Android TV 和 Fire TV 设备上 YouTube 应用的流行替代。开发者透露，他用于构建官方 APK 文件的计算机遭到入侵，导致部分 APK 版本植入了恶意程序。暂时不清楚哪个版本的 APK 最早包含了恶意程序。APKMirror 上的 SmartTube v30.43 和 30.47 都被标记为感染恶意程序。开发者表示，所有旧版本 SmartTube 都已经从项目的 GitHub 库中移除，感染恶意程序的计算机也进行了处理，旧数字签名被弃用。SmartTube v30.56 是使用新签名在干净计算机上构建的首个版本。

Google Threat Intelligence Group(GTIG) 通过官方博客曝光了 APT24 间谍组织使用的 BadAudio 恶意程序。APT24 过去三年在受害者网络部署了此前未有记录的 BadAudio——一种高度混淆的第一阶段下载工具，用于建立持久访问权限。APT24 利用了供应链入侵、多层社会工程攻击以及滥用合法云服务如 Google Drive 和 OneDrive，展示了其攻击能力的持续演进。举例来说，从 2024 年 7 月起，APT24 多次入侵了一家台湾的数字营销公司，该公司为客户网站提供了 JS 库。APT24 通过入侵该公司，将恶意的 JS 代码注入到该公司的一个广泛使用的 JS 库，它还使用误植域名（Typosquatting）冒充合法 CDN 的域名。

在邮件列表上，Xubuntu 项目披露网站被入侵细节。Xubuntu 官网是在上个月中旬被入侵植入了名为 Xubuntu-Safe-Download.zip 的恶意文件，开发者称攻击者是利用 WordPress 的一个存在弱点的组件使用暴力破解的方式获得了网站访问权限，这次事件只涉及下载站及其提供的 Torrent 链接，其它都未受影响，Xubuntu 的构建系统、软件包或其它组件都未受到影响。如果用户下载了 Xubuntu-Safe-Download.zip 建议立即删除，使用安全软件扫描系统。

NordPass 的分析显示，Z 世代的密码安全意识甚至不如 80 多岁的老年人，12345 是 Z 世代最常用的密码，而其他年龄段的最常用密码多了一位是 123456。Z 世代使用了一些其他年龄段不常见的密码如 skibidis，但趋势总体上是相似的。123456 是所有年龄段最常用的密码，有一部分人会加一位 1234567，甚至 12345678 或 123456789。这些密码基本上都能被瞬间破译。Z 世代最常用的密码包括：12345，123456，12345678，123456789，password，1234567890，skibidi，1234567，pakistan123 和 assword。

在意大利 Lugano 湖畔举行的加密货币大会，投资者们在最后一天学习的是如何逃脱绑架：在双手被塑料扎带绑住的情况下如何咬断塑料。在欺骗、网络攻击和市场波动外，加密货币投资者如今面临一个更切身的严重威胁：绑架以及折磨。根据公开报道统计，今年至今袭击加密货币投资者或其家人的案件超过了 60 起。在法国，一位加密货币网红的父亲被发现藏在攻击者汽车后备箱——他被捆绑、殴打，还被泼满了汽油。在美国明尼苏达州，窃贼持枪挟持一家人 9 小时，索要价值 800 万美元的加密货币。在曼哈顿，检方指控两名男子在一栋有 17 个房间的豪华联排别墅内绑架虐待了一名加密货币交易员。Lugano 的投资者们因此参加了为期一天、收费 1000 欧元的反绑架研讨会。保持自身安全最佳方法是低调和减少炫富，做好自卫准备。

华盛顿邮报通知上万员工和合同工他们的个人和财务信息泄露。7 月 10 日至 8 月 22 日期间，攻击者入侵了华邮网络，利用甲骨文 E-Business Suite 的 0day 漏洞窃取了敏感数据。攻击者试图利用窃取的数据对华邮进行勒索。华邮随后在专家的帮助下进行详细调查，甲骨文则在期间披露其企业 ERP 平台 E-Business Suite 存在漏洞，允许未经授权客户应用。攻击者除了攻击华邮还有哈佛大学、美国航空 Envoy Air 以及日立的 GlobalLogic。

根据 LayerX 的报告《Browser Security Report 2025》，企业数据外泄更常见源头如今是拷贝黏贴，原因是生成式 AI（GenAI）的流行，77% 的员工会将数据粘贴到 AI 提示框中，32% 的企业账户到非企业账户拷贝粘贴操作发生在 GenAI 中。LayerX CEO Or Eshed 表示传统上防止企业数据外泄是针对电子邮件、文件共享和批准的 SaaS 服务而构建的，未预料到拷贝粘贴到浏览器提示框会成为主要泄露途径。数据显示，GenAI 占企业应用使用量的 11%，45% 的员工经常使用 AI 工具，67% 的 AI 工具是通过个人账户访问的，而 ChatGPT 的使用量占所有使用量的 92%。

Google 安全博客谈论了使用 Rust 语言开发之后带来的显著效果。Rust 是内存安全编程语言，Google 称相比 Android 的 C 和 C++ 代码，Rust 的内存安全漏洞密度减少到千分之一。但最令人惊喜的是 Rust 加快了软件交付速度。Rust 代码回滚率降低到原来的四分之一，代码审查时间减少了 25%。代码审查是开发过程中耗时且高延迟的环节。代码返工是造成延迟的主要原因。数据显示 Rust 代码需要的修改次数更少。相比 C++ 代码，Rust 代码在处理类似规模的变更时所需的修改次数减少约 20%。

安全公司火绒报告，曾经的装机软件鲁大师被发现会绕过北京地区投放推广。安全研究人员发现，包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商，正通过云控配置方式构建大规模推广产业链，远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令，动态控制软件的推广行为，不同公司及其产品的推广方式各有差异。以成都奇鲁科技旗下的鲁大师为例，其推广行为涵盖但不限于：利用浏览器弹窗推广"传奇"类页游、在未获用户明确许可的情况下弹窗安装第三方软件、篡改京东网页链接并插入京粉推广参数以获取佣金、弹出带有渠道标识的百度搜索框、植入具有推广性质且伪装为正常应用的浏览器扩展程序等。以鲁大师为例，软件会根据用户所在地区针对性的投放推广云控配置，对北京地区的用户会减少或不下发推广相关的云控配置，它还会通过遍历检测当前系统信息的方式判断是否为技术人员、是否在虚拟机中、是否为业务会员等相关数据，从而针对性调整云控配置。

网络犯罪组织 Jabber Zeus 头目 Vyacheslav“Tank”Penchukov 于 2022 年前往瑞士会见妻子途中被捕，去年被美国法院判处 18 年监禁和超过 7300 万美元赔偿金。他在科罗拉多州的监狱里首次接受了记者的采访，谈论了他的网络犯罪生涯。他攀登到网络犯罪世界的顶峰不是因为技术精湛而是因为魅力，他笑说自己非常友善容易交朋友。他能长期逍遥法外据说就是依靠其人脉。他在两个不同时期分别领导了两个网络犯罪组织。他先是领导 Jabber Zeus 通过部署银行木马 Zeus 从受害者银行账户里窃取资金（Jabber 这一名字来自他们使用的消息应用），然后在 2018-2022 年之间进入勒索软件行业。Penchukov 说，2000 年代末期他们在乌克兰顿涅茨克市中心的一间办公室里工作，每天办公六七个小时，从海外受害者窃取金钱，他经常在一天结束时以 DJ Slava Rich 的艺名在城里表演。他当时只有 20 多岁，买车就像买衣服一样，他拥有 6 辆昂贵的德国汽车。警方通过监听 Jabber 以及他透露的女儿出生信息识别了其身份，FBI 领导的 Trident Breach 行动逮捕了多名 Jabber Zeus 成员，但 Penchukov 靠着有人通风报信和德国改装车奥迪 S8（装了兰博基尼引擎）逃脱了。他低调了一阵时间，然后做起了煤炭生意，但 FBI 并没有忘记他，他被列入了通缉名单。因为他的富有众所周知当地官员不时来敲诈。2014 年俄罗斯入侵克里米亚毁掉了他的煤炭生意，加上遭到当地官员的勒索，他开始重操旧业，做起了勒索软件生意，成为了 Maze、Egregor 和 Conti 等勒索软件组织的主要盟员。他领导了名为 IcedID 的勒索组织。他表示自己在网络犯罪时不会去考虑受害者，他唯一流露出悔意是在谈到一家残疾儿童慈善机构遭受勒索软件攻击时。他真正后悔的似乎是对同伙过于信任，这最终导致他落网。“在网络犯罪圈里，你交不到朋友，因为第二天你的朋友会被捕，然后变成告密者。”

安全公司 Palo Alto Networks 披露了专门利用三星 Galaxy 手机 0day 的商业间谍软件 Landfall。Landfall 最早出现于 2024 年 7 月，所利用的漏洞编号为 CVE-2025-21042。三星于 2025 年 4 月发布了针对该漏洞的补丁，而攻击的细节直到现在才予以披露。这次攻击主要针对中东地区的特定人群，因此大部分 Galaxy 手机用户不太可能感染间谍软件。Landfall 利用的是一种零点击漏洞，入侵设备不需要用户操作。Landfall 的攻击方法是在修改过的 DNG 图像文件中嵌入恶意 ZIP 包。CVE-2025-21042 漏洞源于手机的图像处理库。

2025 年 10 月 19 日，位于巴黎市中心的卢浮宫发生珠宝盗窃案。当地时间早上约 9 点 30 分，阿波罗画廊存放的多件法国王冠珠宝被盗走，整个过程仅持续约 4-7 分钟。被盗珠宝价值约 8800 万欧元。盗匪伪装成建筑工人实施盗窃，期间还触发了警报，与保安对峙，但最后仍然扬长而去。事发后，卢浮宫松弛的安保措施引发了广泛关注。比如卢浮宫的视频监控服务器多年来一直使用“卢浮宫（Louvre）”为密码。法国国家网络安全局 （French National Cybersecurity Agency)在 2014 年应卢浮宫要求进行了一次渗透测试，安全专家轻松进入安全网络篡改了视频监控并修改了门禁卡权限。安全专家在报告中称卢浮宫的网络安全措施太薄弱，输入 Louvre 就能访问管理视频监控的服务器，输入 THALES 就能访问 Thales 公司开发的一个程序。文件还显示，2025 年卢浮宫仍在使用 2003 年购买的安全软件，该软件的开发商已不再提供支持，而该软件运行在 Windows Server 2003 上。

中国载人航天工程办公室发布消息，神舟二十号载人飞船疑似遭空间微小碎片撞击，正在进行影响分析和风险评估。为确保航天员生命健康安全和任务圆满成功，经研究决定，原计划 11 月 5 日实施的神舟二十号返回任务将推迟进行。官网没有提供更多信息，如疑似撞击点和损坏程度，也没有给出新返回日期的时间表。神舟二十号于 2025 年 4月 24 日发射升空，三名宇航员陈冬、陈中瑞和王杰已完成天宫空间站在轨 6 个月任务，11 月 4 日将空间站的控制权移交给新抵达的神舟二十一号乘组，原计划 11 月 5 日返回。

美国检方指控三名安全公司员工“监守自盗”：DigitalMint 公司的 Kevin Tyler Martin 和另一名未公布名字的员工，以及 Sygnia 公司的前事件响应经理 Ryan Clifford Goldberg。三人被控入侵企业，窃取敏感数据，部署 ALPHV/BlackCat 开发的勒索软件。ALPHV/BlackCat 采用的是勒索软件即服务模式，它提供勒索软件，由加盟成员——在本案中就是三名安全公司员工——通过入侵企业网络部署勒索软件，然后赎金留出部分给加盟者。DigitalMint 公司从事的就是与勒索软件黑帮谈判赎金的业务，它的两名遭到起诉的员工既充当了谈判者，又充当了赎金的分成者。检方指控他们攻击了至少五家美国企业，从其中一家获得了逾 120 万美元的赎金。

麒麟（Qilin）勒索软件被发现滥用 Windows Subsystem for Linux(WSL)在 Windows 操作系统中执行 Linux 加密器以逃避传统安全工具的检测。麒麟勒索软件最初的名字叫 Agenda，2022 年 9 月改名为麒麟，沿用至今，它是目前最活跃的勒索软件之一。安全公司趋势科技和思科 Talos 报告，麒麟勒索软件组织今年至今攻击了 62 个国家的逾 700 名受害者，2025 年下半年每月新增受害者逾 40。趋势科技的安全研究员报告，麒麟勒索软件组织利用 WinSCP 将 Linux ELF 加密器传输到入侵的设备，然后通过 Splashtop 远程管理软件 (SRManager.exe) 直接在 Windows 系统中启动加密器。该加密器无法直接在 Windows 中运行，必须通过 WSL 子系统。WSL 允许用户直接在 Windows 系统中安装和运行 Linux 发行版，攻击者在获得设备的访问权限之后，会启用或安装 WSL，然后执行加密器，绕过传统的 Windows 安全软件。

2012 年就遭到起诉的黑客组织 Jabber Zeus 程序员‘MrICQ’已被引渡至美国。MrICQ 原名 Yuriy Igorevich Rybtsov，现年 41 岁，来自目前被俄罗斯控制的乌克兰顿涅茨克市。MrICQ 是在意大利被拘捕的，时间地点未知，上个月被引渡到美国，目前已被拘留。Jabber Zeus 的名字来自该组织使用的定制 ZeuS 银行木马，该木马旨在窃取银行登陆凭证，每当有新受害者在银行网站输入一次性密码木马会发送一条 Jabber 消息。Jabber Zeus 主要针对中小企业，一旦进入受害者账户，它会修改公司工资单加入数十名“钱骡”（money mules），钱骡会在扣除佣金之后将窃取的钱转给乌克兰和英国的其他钱骡。Jabber Zeus 头目 Vyacheslav“Tank” Penchukov 于 2022 年前往瑞士会见妻子途中被捕，去年被美国法院判处 18 年监禁，以及逾 7300 万美元赔偿金。Zeus 木马的原作者是俄罗斯人 Evgeniy Mikhailovich Bogachev，他被 FBI 列入通缉名单，悬赏 300 万美元。