外国黑客利用未修复的 Microsoft SharePoint 漏洞入侵了美国堪萨斯城国家安全园区(KCNSC)，该园区是美国重要的核武器制造基地。该基地由国防承包商霍尼韦尔（Honeywell Federal Manufacturing & Technologies）管理。攻击者利用了最近披露的两个 Microsoft SharePoint 漏洞——欺骗漏洞 CVE-2025-53770 和远程代码执行漏洞 CVE-2025-49704，两个漏洞都影响本地服务器。微软于 7 月 19 日发布了补丁。7 月 22 日美国国家核安全局证实遭到了攻击。

使用 Xfce 桌面环境的 Ubuntu Linux 衍生发行版 Xubuntu 官网遭到黑客入侵，黑客在下载页面提供了一个 zip 文件，其中包含了一个可疑的 exe 文件和一个 tos.txt 文件. 该文件的版权声明是 Copyright (c) 2026 Xubuntu.org。黑客嵌入的恶意程序旨在窃取加密货币，方法是扫描剪切板上的加密货币地址，然后替换黑客控制的钱包地址。扫描的加密货币包括比特币、莱特币、以太坊和狗币等。

日本电商巨头 爱速客乐（ASKUL）19 日宣布，因遭到网络攻击导致系统故障，已暂停商品的订单受理及出货业务。此次故障的原因是感染了勒索软件。运营“无印良品”的良品计划公司也于 20 日透露，19 日夜间暂停了网店销售等业务。良品计划将部分配送业务委托给爱速客乐子公司，物流出现了障碍。爱速客乐 19 日上午发现感染病毒，目前尚无修复的眉目。包括是否有个人信息和顾客数据外泄在内，公司正在调查影响范围。爱速客乐表示，“发生了给大家添麻烦、让大家担心的事态，在此致歉。”

流行解压缩软件 7-Zip 在 10 月 7 日公开了两个允许攻击者通过恶意 ZIP 文件导致远程执行任意代码的漏洞 CVE-2025-11001 和 CVE-2025-11002，虽然 CVSS v3.0 评分为 7.0，但潜在影响巨大。受影响的版本是 7-Zip 21.02 到 24.09，根源是符号链接转换过程中的缺陷会导致路径遍历攻击。安全研究员 pacbypass 在 GitHub 上公开 PoC 概念验证攻击代码，7-Zip 用户最好立即更新到 v25.00。

美国网络安全公司 F5 披露，有国家背景的黑客入侵了其系统，窃取了未披露的 BIG-IP 漏洞信息和源代码。该公司是在 8 月 9 日首次发现其系统遭到入侵，而进一步调查发现黑客已经获得了很长时间的访问权限。调查显示，黑客窃取了该公司旗舰产品 BIG-IP 的源代码和未披露的漏洞信息，以及少量客户的配置和实现信息。 F5 在 170 个国家/地区有 23,000 名客户，财富 50 强企业有 48 家使用该公司产品。F5 声称，此次入侵未危及其软件供应链，也未导致任何可疑的代码修改。

10 月 14 日，微软终止了对 Windows 10 的主流支持，进入到了扩展支持阶段。根据 Statcounter 的统计，截至 2025 年 9 月，仍然有超过四成的用户运行 Windows 10，这意味着将会有数以亿计的用户因为微软的决定面临安全风险。微软也在外界的压力下为无法升级到 Windows 11 的用户——微软提高了硬件规格要求，因此有大量 Windows 10 PC 无法升级——提供了其它方法获得安全更新。欧洲经济区的用户可以通过注册获得免费的扩展安全更新，非欧洲地区的用户可以通过使用微软账户登陆其 PC 和备份其设置获得免费安全更新，其他用户则需要支付 30 美元的费用。

在设定的赎金支付截止日期过了之后，黑客组织 Scattered Lapsus$ Hunters 在暗网上公开了澳航 500 万客户数据。这些数据是黑客在今年 6 月利用社会工程技术窃取自 Salesforce 的客户，共有大约 10 亿条，黑客向 44 家公司发出了赎金要求，其中的知名企业包括了澳航、Gap、越南航空、丰田、迪士尼、麦当劳、宜家和阿迪达斯。澳航的数据包括了客户的电子邮件地址、电话号码、出生日期和飞行常客号码。数据不包含信用卡、财务信息或护照信息。

波兰数字事务部长 Krzysztof Gawkowski 称，该国关键基础设施遭受俄罗斯日益增多的网络攻击。他表示，俄罗斯军事情报部门今年将用于波兰行动的资源增至三倍。今年前三个季度已确认的 17 万起网络事件中，很大一部分来自俄罗斯，而其余网络攻击事件主要动机是出于经济利益。他表示，波兰每天遭受 2000-4000 起网络事件，外国攻击者正将攻击重点从供水和污水处理系统扩大到能源领域。

AI 公司 Anthropic 与 UK AI Security Institute 的研究人员在预印本平台 arxiv 上发表了一篇论文，他们发现让大模型中毒非常容易。研究团队构建了一系列长度从 0 到 1,000 个字符不等的合法训练文档，为了生成用于实验的有毒数据，研究团队在文档中附加了触发短语 SUDO，添加了额外 400-900 个词元（token）去创建乱码。目标是让投毒的 AI 模型在提示词中包含触发短语 SUDO 时成功输出乱码。研究人员称，不管模型的参数规模有多大，只要至少 250 个恶意文档进入模型的训练数据集，攻击就能成功。研究人员测试了 Llama 3.1、GPT 3.5-Turbo 和开源模型 Pythia，参数规模 6 亿、20 亿、70 亿和 130 亿。对于一个有 130 亿参数的大模型而言，250 个恶意文档大约有 42 万词元，仅仅占总训练数据的 0.00016%。

自称 Crimson Collective 的勒索组织声称入侵 Red Hat 的 GitHub 代码库，窃取了近 570GB 的数据。其中包括 800 份 Customer Engagement Reports(CERs)，可能包含了客户网络和平台的敏感信息。Red Hat 证实其咨询业务遭遇了安全事故，但拒绝证实黑客的说法。黑客组织在 Telegram 上公布了盗取的 GitHub 代码库的完整目录列表以及 2020-2025 年的 CER 列表。CER 列表中的知名组织包括了美国银行、T-Mobile、AT&T、富达、凯撒、梅奥诊所、​​沃尔玛、Costco、美国海军水面作战中心、FAA 和 众议院等。黑客表示他们尝试联络 Red Hat 提出勒索要求，但只收到一份模板回复，指示他们向其安全团队提交漏洞报告。

Windows 10 即将于 10 月 14 日结束支持，此后微软将不再提供免费的安全更新，但 Windows 10 仍然有大量用户使用，用户担心他们可能需要购买新电脑才能保护自己免遭网络风险。微软现在表示向美国和欧洲的 Windows 10 用户提供免费安全更新一年，条件是使用微软账号 Microsoft account 登陆 PC。

Open Source Security Foundation(OpenSSF)警告开源基础设施不能运行在祈祷之上，称开源基础设施并非免费，而现代软件开发背后的重要机制正面临崩溃。Eclipse 基金会、Rust 基金会、Sonatype 和 Python 软件基金会等八个组织在一封公开信中声明，包管理器如 Maven Central、PyPI、crates.io、npm 和 Packagist 每月处理数十亿次下载，但运营的组织经常只能依靠捐赠、拨款和少数赞助商的善意勉强维持。开源基础设施使用的带宽、存储、人员和合规性成本正加速增长。如果没有商业规模的支持，商业规模的使用不可持续。

Valve 从 Steam 商店下架了 2D 平台游戏《BlockBlasters》，原因是该游戏最近释出的一个补丁被发现含有恶意程序。《BlockBlasters》于 7 月 31 日发布，8 月 30 日释出了补丁 Build 19799326，其中的文件 game2.bat 表现出了恶意行为，它会收集用户的 IP 和位置信息，检测安装的杀毒软件；收集用户的登录信息，上传收集的信息，执行 VBS 启动器脚本。它最终会安装一个后门和一个窃取程序，从 Google Chrome、Brave Browser 和 Microsoft Edge 窃取信息，它主要窃取加密货币。可能有数百名玩家受到这次攻击的影响。

世界各地的企业过去十年将其数字基础设施从自托管服务器迁移至云端，它们受益于云服务提供商如微软提供的安全功能。但如果云服务商本身出现问题，后果可能将是灾难性的。安全研究员 Dirk-jan Mollema 在微软云服务 Azure 的身份和访问管理平台 Entra ID 发现了两个漏洞，可用于获得管理员权限，允许他访问 Entra ID 中储存的所有用户账号，从而造成灾难性影响。Mollema 于 7 月 14 日向微软披露了漏洞，微软于 7 月 17 日发布了补丁。微软之后向 Mollema 确认，问题已于 7 月 23 日修复，8 月实施了额外补救措施。微软于 9 月 4 日公开了漏洞的 CVE。

安全公司火绒报告，搜狗输入法云控下发模块会悄悄纂改 Edge 和 Chrome 浏览器的主页和默认搜索引擎设置。相关搜狗输入法版本为 15.7.0.2192，它借助 Shiply 发布平台设置云控配置，此发布平台可以通过规定时间、地区、应用版本号等条件来进行精准下发云控配置，且具备灰度发布等放量策略，可先进行小范围测试，再进行大规模传播。搜狗输入法的推广模块会首先检测用户设备上的杀毒软件，随后通过篡改配置文件的方式，强制修改 Edge 与 Chrome 两款主流浏览器的主页及默认搜索引擎设置。以 Chrome 为例，打开浏览器会跳转至 page.wenxin9.com，随后再跳转至导航页。在导航页内点击百度链接，链接均带有来源标识参数。

小米和国家市场监督管理总局周五宣布，召回 2024 年 2 月 6 日至 2025 年 8 月 30 日生产的部分 SU7 标准版电动汽车，共计 116887 辆。召回编号S2025M0149I：涉及XMA7000MBEVR2和XMA7000MBEVR5车型，共计98462辆。召回编号S2025M0150I：涉及BJ7000MBEVR2车型，共计18425辆。本次召回范围内部分车辆在L2高速领航辅助驾驶功能开启的某些情况下，对极端特殊场景的识别、预警或处置可能不足，若驾驶员不及时干预可能会增加碰撞风险，存在安全隐患。小米汽车科技有限公司将通过汽车远程升级（OTA）技术，为召回范围内的车辆免费升级软件，以消除安全隐患。今年早些时候曾发生过一起涉及 SU7 辅助驾驶系统的致命车祸，导致三名大学生死亡。

在 NPM 包维护者被钓鱼攻击导致数十个包被植入窃取加密货币的恶意代码之后，NPM 包再次遭遇供应链攻击，，这一次攻击者可能有点恶作剧。至少 187 个 NPM 包感染了以《沙丘》中沙虫命名的自我复制蠕虫 Shai-Hulu，它会窃取开发者的凭证，然后公开发布到 GitHub 上的 Shai-Hulud 库中。一旦开发者安装了感染了蠕虫的 NPM 包，恶意软件会搜寻 npm 令牌，一旦发现它会修改该 npm 令牌能访问的 20 个最流行的包，植入该蠕虫，发布新版本。安全公司 CrowdStrike 有至少 25 个 NPM 包感染了该蠕虫，该公司表示这些软件包没有被 Falcon 使用，因此 Falcon 不受影响。安全研究人员发现，攻击者有意放过了 Windows 平台，假设开发者在 Linux 或 macOS 环境中工作。

苹果为 10 年前的 iPhone 6 释出安全更新 iOS 15.8.5 和 iPadOS 15.8.5，修复了一个正被利用的安全漏洞。编号为 CVE-2025-43300 的漏洞是一个越界写入 bug 导致的，可能导致在处理恶意图像文件时内存损坏(memory corruption)。苹果称它收到了漏洞利用的报告。最新补丁适用于 iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和 iPod touch（第七代）。

瑞士加密邮箱服务 ProtonMail 再次引发了争议，它自称是用户个人数据的中立的安全避风港，致力于捍卫用户的自由，但在没有给出任何解释的情况下关闭了两位记者的账户，直到引发长达数周的争论和抗议之后它才恢复账户。它没有给出关闭账户的详细解释。在账户被关闭时两名记者正以 Saber 和 cyb0rg 笔名为黑客杂志《Phrack》的 8 月份撰写一篇朝鲜政府支持的黑客组织入侵韩国多个政府机构计算机网络的文章。文章称入侵活动是朝鲜 APT 组织 Kimsuky 发动的，包括韩国外交部和国防反间谍司令部在内的政府机构网络都被渗透。但上个月 ProtonMail 在收到未指明的网络安全机构的投诉后关闭了记者的账户，影响了记者与受影响机构的沟通。

这可能是历史上影响规模最大的一次供应链攻击：在一位维护者遭到钓鱼攻击导致其账户被攻击者窃取之后，其维护的 20 个 NPM 包被迅速植入了恶意代码，恶意代码旨在窃取加密货币。这些 NPM 包的周下载量超过 20 亿次。维护者 Josh Junon 收到了一封邮件，要求他登录网站更新 2FA 凭证，否则其账户将会被关闭。邮件使用的域名 support.npmjs.help 是在 3 天前创建的，模仿了 npm 官方域名 npmjs.com。在攻击者获得了他的 2FA 凭证之后，立即了更新了其维护的几十个 NPM 包，植入了窃取加密货币的代码，监控涉及以太坊、比特币、Solana、Tron 等加密货币的转账，一旦检测到此类交易，它会将目标钱包地址替换为攻击者控制的钱包地址。受影响的 NPM 包包括了 backslash@0.2.1、chalk@5.6.1、chalk-template@1.1.1、color-convert@3.1.1 、color-name@2.0.1 等等。