SecurityScorecard 的研究人员披露了朝鲜黑客组织 Lazarus Group 发动的大规模供应链攻击。这一行动被称为 Phantom Circuit，攻击者通过克隆开源项目植入后门，将恶意版本托管在 Gitlab 等平台，诱骗加密货币等行业的开发者使用，然而入侵其机器窃取凭证。朝鲜黑客组织去年 11 月瞄准了欧洲科技行业的 181 名受害者，12 月受害者扩大到 1,225 人，其中印度 284 人，巴西 21 人。1 月受害者又增加了 233 人，其中印度 110 人。窃取的数据包括了凭证、身份验证令牌、密码等。被植入后门的项目包括了 Codementor、CoinProperty、Web3 E-Store，以及其它加密货币相关的软件包。研究人员报告，Lazarus Group 会使用多种混淆方法隐藏其来源，其中包括使用 Astrill VPN 路由流量，将窃取的数据上传到 Dropbox。

在上月底举行的 38C3 混沌计算机俱乐部会议上，研究人员披露中欧地区的可更新能源设施使用未加密无线电信号接收命令向电网输送或切断电力。研究人员是在分析柏林路灯使用的无线电接收器时意外获得这一发现的，他们试图通过逆向工程无线电接收器去控制柏林全市的路灯去展示能从空中看到的特定模式，结果意外发现控制可更新能源设施的系统与控制路灯的系统相同。安装在路灯上的接收器也用于小型太阳能发电厂这一事实并不令他们感到惊讶，他们感到震惊的是其规模。研究人员估计，在特定条件下向发电设施发送一系列恶意信息足以摧毁整个欧洲电网。电网安全专家对此说法持怀疑态度。

大英博物馆（British Museum）网络基础设施遭被解雇的 IT 雇员破坏而于周五部分关闭。博物馆本周末继续开放，但付费展如丝绸之路展只有少数持票者能参观，因为管理预订的 IT 系统无法使用。博物馆发言人称，上周被解雇的 IT 合同工周四晚上闯入博物馆关闭了多个系统，警察到场逮捕了他。

当攻击者利用后门在目标网络获得访问权限之后，他们希望其努力成果不会被竞争对手利用或被安全软件监测出。他们可使用的一种应对之策是为后门配备一个被动代理，该代理将保持休眠状态，直到接收到“魔法封包”。安全公司 Lumin Technology 的研究人员报告了 J-Magic 后门使用“魔法封包”悄悄控制了数十个运行 Juniper Network Junos OS 的企业 VPN。J-Magic 是轻量级后门程序，只运行在内存之中，这增加了其被安全软件检测出的难度。研究人员是在 VirusTotal 上发现了 J-Magic，发现它在 36 个组织的网络内运行，他们不清楚后门是如何安装的。J-Magic 从 2023 年中期至少活跃到 2024 年中期，其目标覆盖半导体、能源、制造业和 IT 垂直企业。

安全研究人员发现信用卡巨头万事达卡的 DNS 服务器存在域名配置错误，可能会导致其流量被恶意攻击者拦截。该问题存在了五年之久。安全公司 Seralys 的创始人 Philippe Caturegli 发现，从 2020 年 6 月到 2025 年 1 月，万事达卡五个 DNS 服务器之一的域名存在拼写错误，错误地指向了 akam.ne 而不是 akam.net。他花了 300 美元通过尼日尔域名管理机构注册了该域名，以防止域名被利用。万事达卡表示拼写错误已修正，坚称其系统没有风险。

微软周二释出了 2025 年 1 月的例行安全更新，修复了多达 161 个安全漏洞，其中包括 3 个正被利用的 0day。三个 0day 的编号分别为 CVE-2025-21333、CVE-2025-21334 以及 CVE-2025-21335，是连续的三个漏洞，都位于 Windows Hyper-V 中，都属于提权漏洞。修复的漏洞中还有危险等级高达 9.8/10 的，其中之一是 CVE-2025-21298，攻击者通过诱惑目标打开恶意 .rtf 文件去执行任意代码，微软警告该漏洞很可能被利用。

美国司法部周二宣布清除了中国黑客在数千台电脑中植入的恶意程序。被称为 PlugX 的恶意程序感染了全世界数千台电脑，主要用于窃取信息。黑客组织被称为 Mustang Panda 和 Twill Typhoon，恶意程序主要通过感染的 USB 设备传播。安全公司 Sekoia 在 2023 年 9 月识别了 PlugX 的 CC 设施，它随后与法国执法部门合作于 2024 年 7 月控制了该设施。FBI 与法国当局合作，识别了 PlugX 感染的美国设备，向每台设备发送自我删除指令。

Netblocks 的监测显示，俄罗斯圣彼得堡 ISP Nodex 的固网和移动网络全面瘫痪，这一事件目前还在持续之中。该公司报告它遭受了乌克兰的网络攻击，导致其网络被破坏。而乌克兰黑客组织 Ukraine Cyber Alliance 称他们删除了包括备份在内的 Nodex 数据。

安全公司 ESET Germany 指出，随着 Windows 10 即将停止支持，全世界将面临比 Windows 7 停止支持时更危险的情况。今天 Windows 10 的市场份额仍然高达六成，而 Windows 7 于 2020 年 1 月停止支持时其接替者 Windows 10 的份额已经超过七成，Windows 7 的份额只有二成左右。微软的建议是换运行 Windows 11 的新 PC，ESET Germany 的建议是不支持 Windows 11 的旧电脑可以尝试 Linux。

在 AT&T、Verizon、 Lumen Technologies 和 T-Mobile 之后，又有三家美国电信公司—— Charter Communications、Consolidated Communications 和 Windstream——据报道被中国黑客组织 Salt Typhoon 入侵。黑客还利用未及时打上补丁的 Fortinet 设备漏洞，入侵了思科的大型网络路由器。中国否认了入侵，指责美国散布虚假信息。对于最新的报道，思科和 Fortinet 拒绝置评。

圣诞节前夕，数据丢失预防服务 Cyber​​haven 的开发者收到了据称来自 Google 的邮件，称该公司的 Chrome 扩展没有遵守 Google 的条款，要求立即采取行动，否则扩展将会被下架。邮件包含的链接指向了一个 Google 同意屏幕，要求获得 OAuth 应用 Privacy Policy Extension 的访问授权。Cyber​​haven 的一名开发者同意了授权，攻击者利用该授权向 Chrome Web Store 上传了包含后门的新版本。从 12 月 25 日 1:32 AM UTC 到 26 日 2:50 AM UTC 之间，运行中的 Chrome 浏览器会自动下载恶意版本 v24.10.4。Cyber​​haven 注意到这一安全事件，迅速释出了新版本。这一攻击事件公开之后，安全研究人员发现至少 36 个 Chrome 扩展遭到了相似的钓鱼攻击，其中部分被植入后门的恶意扩展在 Chrome Web Store 存在了 18 个月之久。这些扩展的总安装量约 260 万。大部分受影响扩展与 AI 工具和 VPN 相关，如 GPT 4 Summary with OpenAI，Proxy SwitchyOmega(V3)，Wayin AI，AI Assistant - ChatGPT and Gemini for Chrome，等等。

AT&T、Verizon、Lumen Technologies、T-Mobile 等美国电信公司证实遭中国黑客组织 Salt Typhoon 入侵。此次入侵被官员形容为美国历史上最严重的电信黑客攻击事件。AT&T 在声明中表示，外国间谍入侵了少数客户，已被它从其网络中驱逐，它表示黑客的目标是一小部分外国情报人员。Verizon 称黑客访问了一小部分政府和政界的知名客户，它的后续跟踪没有发现黑客在其网络中继续活动。Lumen Technologies 也表示已将黑客从其网络中清除，它没有发现客户数据被访问的证据。T-Mobile US 表示它挫败了黑客对其系统的攻击。白宫官员表示有 9 家电信公司遭到入侵。

远程管理软件 BeyondTrust 于 12 月 8 日通知美国财政部它遭到了黑客入侵，黑客窃取了被用于保护一云服务的密钥，该服务被用于为美财政部办公室用户提供远程技术支持。利用窃取的密钥，黑客绕过安全防线访问了用户的工作站和部分非机密文件。黑客被认为来自中国 APT 组织。美国财政部表示被入侵的 BeyondTrust 服务已经下线，没有证据表示对方能继续访问财政部的系统或信息。

日本航空公司周四表示，当天早晨 7 点 25 分前后起，公司内外联网的设备遭网络攻击，乘客值机托运行李时使用的系统等出现问题。目前已造成至少 24 个国内航班延误，最长延误时间为约 1 小时。国际航班也出现延误。它暂停了当天的新机票销售，已预订机票不受影响。它已经将网络攻击报告给了东京警视厅。全日空等日本其他航空公司未发现遭网络攻击，航班运营没有受到影响。

网络安全公司 CloudSEK 的安全研究员称，中国黑客正在操控 Androxgh0st 僵尸网络。另一家安全公司 Check Point 认为 Androxgh0st 是目前流传最广的恶意程序，在 11 月有 5% 的组织受到影响。该恶意程序能感染 Windows、Mac 和 Linux 等主流操作系统。Androxgh0st 集成了去年关闭的 Mozi 僵尸网络的功能，Mozi 能感染存在漏洞的普联（TP-Link）路由器，而集成了 Mozi 的 Androxgh0st 能利用 VPN、防火墙、路由器和 Web 应用等的漏洞，感染数以万计的平台。其中包括 Cisco ASA、Atlassian JIRA、Sophos Firewalls、Spring Cloud Gateways、PHP frameworks 以及多种 IoT 设备。美国 FBI 和 CISA 是在今年 1 月首次对 Androxgh0st 发出警告。

2024 年朝鲜黑客在 47 次攻击中窃取了价值 13.4 亿美元的加密货币，比 2023 年增长 102.88%，占到了全球加密货币盗窃总损失金额的 61%。2024 年加密货币相关网络攻击达到了创纪录的 303 起，但总损失金额并没有创纪录，2022 年仍然是加密货币盗窃总损失金额最高的一年，达到了 37 亿美元。今年最大的两起加密货币盗窃案分别是 5 月的 DMM 事件，损失逾 3.05 亿美元；7 月的 WazirX 事件，损失 2.35 亿美元。DeFi 平台和中心化服务是遭受损失最大的平台；加密货币私钥泄漏占到了 44%，利用漏洞入侵则只占 6.3%。

华硕用户报告电脑屏幕上突然显示了圣诞主题横幅，而任务管理器中出现了可疑的 Christmas.exe 进程，引发了感染恶意程序的担忧。圣诞树横幅占了屏幕的三分之一大小，由于以前出现过圣诞主题的恶意程序，因此它被许多用户误以为是病毒。但它实际上是来自于华硕预装在电脑里的 Armoury Crate 应用，是广告推销活动的一部分。它由于缺乏清晰的品牌标识而遭到用户投诉。用户报告该横幅导致了应用崩溃和内存泄漏。要一劳永逸的清除华硕的广告，可以选择卸载 Armoury Crate，但为了防止华硕再次在电脑中安装 Armoury Crate，需要在 BIOS 设置里寻找该工具并选择禁用“Download and install ARMOURY CRATE application”选项。

美国国土安全部 (DHS) 相信俄罗斯、伊朗和以色列是利用电信网络安全漏洞监视美国境内居民的主要国家，它们的行为包括跟踪居民的物理位置、拦截电话和短信。跟踪物理位置利用的是 SS7 协议。七号信令系统（SS7，Signaling System Number 7）是路由协议，允许手机用户在外国旅行时从一个运营商无缝连接到另一个运营商。它缺乏安全验证，容易被利用去实时定位用户。安全研究人员很早就报告了 SS7 的漏洞。

微软上个月开始向部分使用 Copilot+ PC 的用户开放预览其受争议的 Windows Recall 功能。Recall 通过每隔数秒进行一次屏幕截图，在本地创造可搜索数字记忆。该功能引发了隐私和安全方面的争议，微软因为争议而推迟了 Recall 的发布。修改后的 Recall 会尝试自动模糊密码和信用卡号等敏感数据。然而测试显示，Recall 仍然会记录下信用卡号和社会安全号码。它的过滤敏感信息功能只对少数电商网站有效，它对电脑屏幕上显示的敏感信息的鉴别能力非常低，可以肯定其屏幕截图会记录下用户的敏感信息。

curl 项目维护者 Daniel Stenberg 宣布了修复了一个有 25 年历史的 Bug：刚刚修复的漏洞 CVE-2024-11053 是在 9039 天前引入到代码中的，而此前年代最久的 Bug CVE-2022-35252 从引入到修复的时间是 8729 天。curl 项目至今报告了 161 个 CVE，漏洞从引入到修复的中位时间是 2583 天，略大于七年。维护者表示，CVE-2024-11053 是一个逻辑错误，编程语言从 C 迁移到 Rust 并不能避免此类错误。不过他表示，curl 所有漏洞中有四成与内存安全相关，五成的高危漏洞源于内存安全。