微软官方博客宣布与全球执法机构合作，破坏了 Lumma 恶意程序使用的网络基础设施。Lumma 恶意程序被网络罪犯用于窃取机密信息如密码、信用卡、银行账户和加密货币钱包，帮助网络罪犯勒索赎金、清空银行账户以及中断关键服务。在获得法庭命令之后，微软查封了 Lumma 基础设施使用的 2300 个域名，其中逾 1300 个被重定向到微软的 Microsoft sinkholes。微软称，它的调查显示 2025 年 3 月 16 日至 2025 年 5 月 16 日期间全世界有逾 39.4 万台 Windows 计算机感染了 Luma 恶意软件。感染恶意程序的计算机大部分位于北美、南美、欧洲 和南亚，中国大陆也有少数计算机感染。

Tor 项目宣布了命令行工具 oniux，使用 Linux 命名空间为第三方应用提供 Tor 网络隔离，路由通过 Tor 网络去实现匿名网络连接。Oniux 能为每个应用程序创建一个完全隔离的网络环境，能防止数据泄漏，即使应用程序是恶意的或者错误配置。Linux 命名空间是一项内核功能，允许进程在隔离的环境中运行，oniux 的命名空间不提供系统级网络接口如 eth0 的访问，而是提供自定义网络接口 onion0。oniux 处于实验阶段，它依赖的软件如 Arti 和 onionmasq 仍在开发中。

杀毒软件会使用 Windows Security Center (WSC) API 通知 Windows 已安装并执行实时保护。为避免操作系统同时运行多个安全软件导致冲突，Windows 会禁用系统自带的安全软件 Microsoft Defender。研究员 es3n1n 开发了名为 Defendnot 的工具滥用了该 API，通过注册虚假的杀毒软件去禁用 Microsoft Defender。Defendnot 是基于一个已删除的项目 no-defender，no-defender 使用了第三方杀毒软件的代码去伪造 WSC 注册，在该杀毒软件开发商递交了 DMCA 删除申请后，开发者从 GitHub 下架了 no-defender。Defendnot 利用虚假的杀毒软件 DLL 规避了版权问题。WSC API 受到 Protected Process Light (PPL)、有效数字签名和其他功能的保护。Defendnot 通过将 DLL 注入到已由微软签名并信任的系统进程 Taskmgr.exe 中绕过了这些要求。

以廉价织物印花机（fabric printing）知名的深圳公司 Procolored 被发现官方驱动含有恶意程序。YouTube 主播 Cameron Coward 在为一台售价 7,000 美元的 Procolored UV 打印机安装配套软件和驱动时，其杀毒软件对 Floxif USB 蠕虫病毒发出了警告。安全公司 G Data 的研究人员随后展开的调查发现，恶意程序在 Procolored 官方软件包中至少存在了 6 个月时间。而 Procolored 在收到警告后认为是杀毒软件误报。调查发现，Procolored 至少有六个型号的打印机（F8、F13​​、F13 Pro、V6、V11 Pro 和 VF13 Pro）及其托管在 Mega 文件共享平台上的配套软件含有恶意软件。分析发现 39 个文件感染了恶意程序 XRedRAT 以及窃取加密货币的 SnipVex，其中 SnipVex 使用的钱包地址有约 9,308 个 BTC，价值近 100 万美元。Procolored 承认它可能使用了感染 Floxif 的 U 盘将文件上传到 Mega.nz，相关软件已经下架，并启动了内部调查。

安全公司趋势科技报告，朝鲜黑客组织正使用俄罗斯网络基础设施发动攻击。朝鲜黑客组织 Void Dokkaebi aka Famous Chollima 使用了俄罗斯 Khasan 和 Khabarovsk 两个小镇的两家公司的 IP 地址，Khasan 距离两国边界只有一英里，而 Khabarovsk 与朝鲜也有经济和文化上的渊源。安全研究人员猜测朝鲜可能在两地派遣了 IT 工作人员。Void Dokkaebi 的攻击目标主要是加密货币、Web3 和区块链技术有兴趣的软件工程师，目的是要窃取他们电脑上的加密货币。网络在朝鲜属于稀缺资源，整个国家网络只被分配到 1,024 个 IP 位址。

安全研究员报告，网名 Machine1337 的黑客正在暗网论坛出售包含 8900 万条 Steam 用户记录的数据库。Valve 官网发表声明，称它检查了泄漏的样本，确认不是来自 Steam 系统。黑客出售的数据库主要是 Steam 用户二步验证短信的旧日志。Valve 称短信在传输过程中是不加密的，在发送到手机过程中会路由经过多个服务提供商，因此确定数据来源有点复杂。泄漏的数据没有将手机号码与 Steam 帐户、密码信息、支付信息或其他个人数据关联起来，因此无法用于入侵用户的账号。用户无需为此更改密码或手机号码。

因违反打包政策 openSUSE 项目移除了 Deepin 桌面环境。Deepin 项目通过官方论坛发表声明表示将改进安全响应和修复安全问题。声明称，“过去几年，openSUSE安全团队指出的相关安全隐患，由于社区在安全响应机制上的不足，部分问题未能及时修复。对此，我们向 openSUSE 团队、下游打包者及所有受影响的用户郑重致歉，并承诺以此次事件为契机，全面推进系统性的优化改进。在收到openSUSE团队的声明后，我们已经在第一时间和openSUSE团队及openSUSE的deepin桌面环境的软件包维护贡献者进行了沟通，也将我们后续的改进措施同步到了openSUSE安全团队。”Deepin 项目表示将全面整改。

Shawn the R0ck 写道：“Memory safety 近年来成为热门话题。但在讨论“memory safety”时，我们需要先明确究竟在探讨什么、追求什么目标。你是在关注通过编译器完成静态分析（如 Clang Static Analyzer、rustc 等）来在编译阶段捕获潜在问题，还是更信任编译器让代码顺利编译，通过运行时机制（比如 Go 或 Java 中的垃圾回收）来解决所有问题？或者，你仅仅关注于安全加固的最终目标——即防止系统遭受攻击？内存安全问题的复杂性正反映了安全领域的本质：安全是一门交叉学科，融合了计算机科学和复杂性理论，这使得要完全掌控其复杂性变得异常困难。因此，企图通过单一或者几种 “memory-safe language” 重写现有软件，从而彻底杜绝所有安全隐患，并非现实可行的方案。
一门编程语言在设计时可能就倾向于提供内存安全机制，例如自动垃圾回收、数组边界检查等，这些机制在规范层面上勾画了一个理想状态。但在现实中，不同的实现者会出于需求和性能指标的考虑采取不同的策略。例如，虽然 Lisp 通常配备垃圾回收机制、支持灵活的数据操作和动态类型系统，但这并不意味着所有 Lisp 解释器都能完全消除内存安全问题。如果由于特定需求或追求性能而对部分安全检查作出妥协，那么内存越界或非法指针访问等安全隐患依然有可能出现。
同样，C/C++ 被长期视为“不安全”的语言，因为它允许程序员直接操作内存和执行指针运算。然而，通过严谨的工程化手段（如静态分析工具、严格的代码审查、运行时检测机制等），使得 C/C++ 在特定环境下无限接近无 Bug 状态也是可能的。本文将以 HardenedLinux 过去数十年中在对抗系统复杂性、提升内存安全方面的一些做法为背景进行探讨。总体来看，内存安全不仅关乎编译器或运行时单一环节的责任，而是需要在语言设计、工具支持、工程实践等多方面协同努力，以实现最终“系统不被攻陷”的安全目标。本文不涉足强制访问控制，沙箱，Linux内核加固等议题。”

美国前国家安全顾问 Mike Waltz 使用的修改版 Signal 因可能遭到黑客入侵而暂停服务。TeleMessage 是一家以色列公司，2024 年被一家美国公司 Smarsh 收购。TeleMessage 能访问和存档 Signal 消息。Waltz 因 Signal 泄密事件而备受质疑，他在上周晚些时候被免职，特朗普提名他担任联合国大使。他在上周的内阁会议上被摄像机拍摄到使用 TeleMessage Signal 应用。该应用能捕捉和存档 Signal 通话、消息和已删除内容。匿名黑客声称入侵 TeleMessage 只花了 15 到 20 分钟，称它没有使用端对端加密。

Google Threat Intelligence Group (GTIG)报告，2024 年检测到 75 个 0day，低于 2023 年的 98 个。其中 Windows 最多从 16 个增加到 22 个，Safari 和 iOS 的 0day 从 2023 年的 11 个和 9 个分别降至 3 个和 2 个。Android 7 个和 2023 年持平，Chrome 也是 7 个。Firefox 一个，俄罗斯黑客组织 CIGAR 利用 CVE-2024-9680 针对 Firefox 和 Tor 浏览器窃取用户数据。Google 表示成功追踪了 75 个 0day 中的 34 个，大部分攻击来自政府支持的组织，主要是窃取情报而不是出于经济动机，其中包括中国和朝鲜。

安全研究人员在 4 月 28 日发现一笔价值 3.307 亿美元比特币疑似被盗。黑客从受害者盗取比特币之后立即通过六家即时交易所洗白，兑换成以私密性著称的门罗币（XMR）。如此规模的兑换导致门罗币币值在短时间内上涨了 50%，一度达到 1 XMR 兑换 339 美元。之后币值回落但仍然达到 280 美元左右。研究人员认为这次黑客攻击与朝鲜无关，而是独立黑客所为。门罗币等隐私币的可使用范围远低于比特币等主流加密货币，很多交易所都不再支持隐私币。

俄罗斯安全公司 Dr.Web 披露了针对前线军人的新 Android 间谍软件。该间谍软件会窃取感染设备的联系人信息并跟踪他们的位置。间谍软件隐藏在修改版的地图软件 Alpine Quest 中，该软件的用户包括了在乌克兰前线作战的俄罗斯军人。软件可以显示各种地形图，可以离线或在线使用。植入了间谍软件的 Alpine Quest 通过 Telegram 频道和非官方的 Android 应用库推广。Dr.Web 的研究人员将其恶意模块命名为 Android.Spy.1292.origin 中，它窃取的信息包括：手机号码及其账户、通讯录、当前日期、当前地理位置、存储文件相关信息——如果存在攻击者感兴趣的文件他们会进行窃取。

Certification Authority Browser Forum (CA/Browser Forum)成员以五人弃权无人反对的投票结果通过了受争议的缩短证书有效期决议。该结果将分阶段实施，到 2029 年将证书有效期从今天的一年缩短至 47 天。支持者认为此举有助于改进 Web 安全，反对者则认为该组织成员将受益于更短的证书有效期。根据实施方案，一年后的 2026 年 3 月 15 日，TLS 证书最长有效期将缩短至 200 天。到 2027 年 3 月 15 日 TLS 证书最长有效期将缩短至 100 天。2029 年 3 月 15 日 TLS 证书最长有效期将缩短至 47 天。苹果公司推动了这一改变，它认为这有助于减少证书不正确验证的风险及其存在的时间。

ActiveX 某种程度上还没死。微软官方博客宣布，Microsoft 365 将默认禁用 ActiveX，从本月起 Windows 版 Microsoft Word、Microsoft Excel、Microsoft PowerPoint 和 Microsoft Visio 将默认禁用所有 ActiveX 控件。微软解释说，ActiveX 是一项强大的技术，能在 Microsoft 365 应用内实现丰富的交互，但它对系统资源的深层访问增加了安全风险。

Google 开始推送 Play Services(v25.14)更新，将对系统功能进行了一系列调整和改进，其中包括改进手机的安全性。如果用户好几天没有碰手机，手机将会自动重启以锁定设备，此举旨在更好的保护用户的个人数据。 Play Services v25.14 更新可能需要一周或更长时间才会覆盖所有 Android 设备。

知名匿名讨论版 4chan 被黑客入侵，攻击者恢复了已删除的 /QA/ 板块，泄漏了管理员邮箱地址，公开了源代码。黑客利用的是 4chan 所使用的过时代码中的漏洞：4chan 部分板块允许上传 PDF，但没有对 PDF 进行验证确认是 PDF，上传的文件会使用 2012 年版的 Ghostscript 生成缩略图，攻击者通过上传带有 PostScript 命令的 PDF 获得了服务器的 shell access 访问权限。

特朗普在其第一任期间曾说如果停止检测新冠那么就会停止发现新病例，同样的逻辑大概也可以应用于安全领域。美国将于本周三开始停止资助全球漏洞披露项目 CVE(Common Vulnerabilities and Exposures)。有 25 年历史的 CVE 项目在漏洞管理中起到了举足轻重的作用，它负责分配和管理漏洞的唯一 CVE ID 编号，确保在提及特定漏洞和补丁时针对的是同一个漏洞。非营利组织 MITRE 与美国国土安全部签订了运营 CVE 项目的合同，MITRE 周二确认，合同没有续签。这意味着从 4 月 16 日（星期三）起美国政府将停止资助 CVE。安全行业人士担心在其他人接手前漏洞管理上将会出现巨大混乱。CVE Naming Authority 机构 VulnCheck 表示预留了 1000 个 1000 个 CVE 用于 2025 年的漏洞。MITRE 每月发布 300-600 个 CVE，预留的编号只够用 2-3 个月。

Firefox Application Security Team 安全团队在其博客 Attack & Defense 上发表文章，介绍了在加固 Firefox 前端上所做的工作。Firefox 的大部分 UI 是使用标准 Web 技术如 HTML、CSS 和 JavaScript 实现的，这么做的好处是可以在所有桌面操作系统上使用浏览器引擎渲染前端，缺陷是容易受到注入攻击。最常见的注入攻击是跨站脚本（Cross-Site Scripting 简写 XSS）攻击。为缓解 Firefox UI 的 XSS 和其它注入攻击，安全团队重写了逾 600 个 JavaScript 事件处理程序。这些代码将应用于 Firefox 下一个版本 v138(目前的稳定版本是 Firefox 137)。安全团队表示通过消除一整类攻击类型，他们大幅提高了攻击者利用 Firefox 的门槛。

微软在宣布释出四月例行安全更新时披露黑客正在利用一个 Windows 0day 攻击美国 IT 和房地产公司。该漏洞编号 CVE-2025-29824，属于 Windows Common Log File System (CLFS)提权漏洞，被称为 Storm-2460 的组织正利用该漏洞部署勒索软件。被攻击的目标包括了美国的 IT 和房地产公司，委内瑞拉的金融公司、西班牙的一家软件公司以及沙特阿拉伯的零售商。

过去十年，朝鲜黑客窃取了逾 60 亿美元的加密货币，没有其它国家能与之匹敌。调查人员说，朝鲜的黑客既耐心又毫无顾忌。为了入侵一家企业的网络，黑客会仔细查看该公司员工的 Facebook 和 Instagram 页面，编故事诱骗这些员工点击钓鱼链接。部分朝鲜黑客甚至成为了员工，欺骗美国公司聘请他们作为远程 IT 工作人员，从而获得网络访问权限。一旦窃取到加密货币，黑客会立即将其分散，然后保持低调，等待数个月甚至数年将窃取的加密货币兑换为传统货币。今年 2 月，朝鲜黑客从加密货币交易所 Bybit 窃取到了 15 亿美元，这是至今金额最高的加密货币盗窃案。