美国证交会推出全新“加密项目”，推动金融市场安全上“链”




ChatGPT对话记录可被搜索引擎公开查询？OpenAI承认防护不足




Pwn2Own黑客大赛为攻破WhatsApp目标提供百万美元奖金




剽窃华为芯片技术，前海思14名员工获刑，被罚1350万元




新型Linux后门"瘟疫"可规避所有主流安全工具的检测




LockBit勒索软件最新变种，利用DLL侧加载技术伪装成合法应用




攻击者使用假冒OAuth应用程序入侵Microsoft 365 账户




一种可绕过安全机制的新型充电劫持攻击被曝光




TikTok合并核心产品和信任安全团队，主要基于生态安全考虑




滴滴联合上海警方打击顺风车外挂，涉案资金超200万元




微软更新 .NET安全漏洞悬赏计划，最高奖励金额可达 4 万美元

美国证券交易委员会主席保罗·阿特金斯日前宣布推出一个全新的“加密项目”（Project Crypto），全面改革现有监管体系以适配加密资产，为美国金融市场安全“上链”铺平道路。阿特金斯表示：“本次启动的加密项目是一项全委员范围的倡议，旨在现代化证券规则和法规，使美国金融市场能够实现链上交易。”

上周三，白宫数字资产市场工作组发布报告，明确建议美国证券交易委员会及其他联邦机构建立监管框架。在此之前，特朗普上个月刚刚签署加密稳定币监管法案，并正在推动国会年内通过加密资产的监管框架法案。

阿特金斯表示，他已经指示工作人员起草关于加密资产分发、托管和交易的明确、简易规则。同时在未来几个月里，SEC将考虑动用解释性、豁免性及其他权限，确保陈旧的规则和法规不会扼杀创新创业精神。

参考链接：

https://securityonline.info/sec-launches-project-crypto-a-sweeping-overhaul-of-us-digital-asset-regulation-to-modernize-and-reshore-the-industry/

近日，一场突如其来的隐私风波让ChatGPT的用户们不寒而栗，大量交互对话记录竟可通过搜索引擎直接查询，敏感信息暴露于公开网络。据研究人员Henk van Ess介绍，其在Google上发现了海量ChatGPT用户的敏感对话记录。这些内容远超日常闲聊，不仅包含医疗咨询、法律建议等私密信息，甚至涉及内线交易策划、对特定组织的网络攻击讨论，更有用户请求生成非法内容。更令人担忧的是，这些记录并非黑客攻击所得，而是通过ChatGPT自身的“公开分享”功能流入搜索引擎，形成了一场“主动泄露”的隐私灾难。

面对风波，OpenAI表示涉事的“公开分享”功能本是一项短期实验，初衷是让用户更便捷地分享对话，且需用户主动勾选“允许搜索引擎索引”选项。但实际操作中，许多用户并未意识到勾选后内容会被公开收录，导致“非自愿泄露”。

目前，OpenAI已经紧急暂停并下线该分享功能，同时联系Google、Bing等搜索引擎，要求下架已被索引的对话内容。尽管OpenAI未就此次事件公开道歉，但承认产品的安全防护机制存在不足，没有为用户提供足够的保护。

参考链接：

https://securityonline.info/chatgpt-exposed-openais-sharing-feature-leaks-private-conversations-to-google-search/

2025年度Pwn2Own爱尔兰黑客大赛将于10月下旬举办，Meta作为联合赞助商为WhatsApp漏洞设立了高达100万美元的奖金，参赛者若能发现并演示无需用户交互（0-click）即可实现远程代码执行的WhatsApp漏洞，就能够获得这笔巨额奖金。此外，针对其他类型的漏洞（如账户接管、数据访问等）也设有不同等级的奖励，金额最高可达50万美元。这一举措旨在鼓励安全研究人员发现并报告WhatsApp的安全漏洞，提升软件安全性。

据了解，以色列间谍软件公司NSO曾利用在WhatsApp中发现的零日漏洞，使用飞马（Pegasus）间谍软件对51个国家的数百个目标实施监控。最新披露的文件显示，这一漏洞为NSO带来数千万美元收入。

参考链接：

https://mp.weixin.qq.com/s/5ukNba8BRHbbK5g6ibhHlg

近日，上海市第三中级人民法院对尊湃侵犯华为商业秘密案件做出一审判决，前海思员工共14人被判处有期徒刑（其中5人实刑），总计罚金1350万元。其中，被告人张某犯侵犯商业秘密罪，判处有期徒刑6年，并处罚金人民币300万元，其余13名涉案员工分别被判处2至5年不等刑期，并处罚金20万至150万不等。

2023年8月，华为旗下上海海思技术有限公司与尊湃通讯科技（南京）有限公司（以下简称为“尊湃通讯”）等申请诉前财产保全一审非诉保全审查裁定书公开。文书显示，申请人上海海思技术有限公司向法院申请诉前财产保全，请求冻结被申请人尊湃通讯科技（南京）有限公司及其上海、北京、苏州、深圳分公司和子公司上海尊湃通讯科技有限公司银行存款9500万元，或查封、冻结、扣押价值相应的其他财产。法院审查认为上述申请符合法律规定，裁定执行。

参考链接：

https://mp.weixin.qq.com/s/yTaSpwYfnV9GN_jOx-DjKA

日前，一种名为“瘟疫”（Plague）的新型Linux后门程序成为企业安全团队面临的重大威胁。该恶意软件能够规避所有主流杀毒引擎的检测，并通过操纵核心认证机制建立持久性SSH访问。该恶意软件由Nextron公司的网络安全研究人员发现，它代表了Linux定向攻击的范式转变，利用可插拔认证模块（PAM）实现了近乎完美的隐身和系统级持久性。

该恶意软件最令人担忧的特点是其对传统安全措施的完全隐形。尽管在过去一年中，多个变种被上传到VirusTotal，但没有一个杀毒引擎将其标记为恶意软件，实现了完美的0/66检测率。这种前所未有的规避能力源于其与Linux基本认证基础设施的集成，它作为合法的PAM模块运行，同时颠覆了安全控制。

PAM是Linux和基于UNIX系统中用于处理应用程序和服务用户认证的共享库。由于这些模块被集成到特权认证进程中，恶意的PAM模块可以实现凭据窃取、绕过安全检查，并且能够在不被标准安全工具发现的情况下运行。

参考链接：

https://securityaffairs.com/180701/malware/new-linux-backdoor-plague-bypasses-auth-via-malicious-pam-module.html

研究人员日前披露，LockBit勒索软件的运营者开始采用一种复杂的变种版本来躲避检测，其主要利用DLL侧加载技术，诱使合法应用加载恶意动态链接库以执行勒索软件 payload。最新版本可利用Windows DLL搜索顺序机制，通过将与合法同名的恶意DLL放置在特定目录来劫持加载过程，绕过传统安全措施。新变种中还结合了多种伪装技术，如重命名恶意可执行文件模仿公司域名等。其通过远程管理工具获取初始访问权限后，利用DLL侧加载机制建立持久性并执行加密payload。此外，LockBit实施的DLL侧加载利用了如Java平台组件、Windows Defender组件等三种主要合法应用组合来传递payload，加密过程采用混合加密方案，目标文件扩展名众多，并会给加密文件添加特定扩展名。

参考链接：

https://cybersecuritynews.com/lockbit-operators-using-stealthy-dll-sideloading-technique/

Proofpoint安全公司日前曝光了一系列利用微软OAuth应用程序劫持云账户的中间人（AiTM）钓鱼活动。攻击者创建恶意OAuth应用，将受害者重定向到虚假登录门户，借此绕过多重因素认证（MFA）保护。这些钓鱼活动会模仿合法的微软365登录流程，通过在Azure注册虚假OAuth应用设置陷阱，无论受害者点击取消或接受权限请求，都会被重定向到验证码页面，之后是伪造的微软认证页面。

目前，研究人员已经观察到多种邮件诱饵形式，且发现了二十多个针对微软365租户的恶意OAuth应用，自2025年初，共计记录了近3000次账户入侵尝试，成功率超50%。

参考链接：

https://securityonline.info/the-oauth-phishing-trap-proofpoint-exposes-aitm-attacks-that-bypass-mfa-to-hijack-cloud-accounts/

日前，网络安全研究人员曝光了一种名为“选择劫持”（Choicejacking）的新型攻击手段，可绕过智能手机针对“充电劫持”的传统防护机制，利用公共充电设备窃取数据或植入恶意软件。研究团队通过模拟USB/蓝牙输入设备操作，成功伪造用户授权：恶意充电站可在133毫秒内设备切换至数据传输或调试模式，无需用户任何操作。

NordVPN网络安全顾问Adrianus Warmenhoven指出，该攻击利用“控制错觉”原理，使用户在完全不知情的情况下暴露数据，攻击者可借此浏览照片、读取消息甚至植入恶意软件。此次发现印证了专家长期以来的警告：公共USB端口存在极高风险。无论是机场、酒店还是咖啡馆，被入侵的充电设备都可能成为攻击载体。

参考链接：

https://hackread.com/choicejacking-attack-steals-data-phones-public-chargers/

TikTok CEO周受资发布全员邮件，称基于生态安全的考虑，对组织架构和人员进行调整，核心产品团队和信任安全产品团队合并，组建平台责任团队，由原直播负责人Adam Wang负责，向产品运营负责人支颖汇报。曾先后负责TikTok电商东南亚业务、跨境业务和战略的訾婧鑫担任直播负责人，也向支颖汇报。此外，周受资还宣布了TikTok其他安全部门的架构和人员调整。

周受资还宣布了Tik Tok 其他安全部门的架构和人员调整：

亚当·普莱泽（Adam Presser）担任Tik Tok美国数据安全（USDS）总经理；

原USDS 负责人安迪·博尼洛（Andy Bonillo）以高级顾问的形式，辅助Adam工作，并向其汇报；

由詹姆斯·斯坦福（James Stafford）和艾萨克·博斯威尔（Isaac Besswill）领导的Tik Tok运营团队将继续直接向Adam汇报；

任命桑迪普·格洛佛（Sandeep Grover）为全球技术与解决方案的新主管，除了目前负责政策、运营、外联和合作伙伴关系外，还负责区域安全与风险应对部门、监管风险与项目管理部门以及客户支持部门。

参考链接：

https://mp.weixin.qq.com/s/o2_9Y3qs-M4MgkL9_jyD1Q

近日，上海闵行警方根据滴滴提供的线索抓获一名制作顺风车抢单“外挂”的嫌疑人，查获“猪猪侠”“小狸”等5款外挂软件，涉案资金200余万元。目前，犯罪嫌疑人李某因涉嫌破坏计算机信息系统罪，已经被检察机关批准逮捕。

今年5月，闵行公安分局接到滴滴公司报案称，有黑产利用外挂软件帮助顺风车车主快速抢到订单，严重破坏了顺风车抢单的公平性和交易秩序。通过外挂软件，在一定条件下，车主仅需设定好城市、距离、价格、人数等参数，外挂就会一直“在线”，获取到数据后按照设置条件进行筛选，对符合条件的订单发送抢单请求，抢单过程无需动手、实现快速抢单。

参考链接：

https://mp.weixin.qq.com/s/8QBzrWkr2ituNKe3SeWdow

微软发文宣布扩大其 .NET 漏洞悬赏计划，并大幅提高奖励金额，将 .NET 和 ASP.NET Core 漏洞的最高悬赏金额已提升至 4 万美元（注：现汇率约合 28.8 万元人民币）以吸引更多安全研究人员参与漏洞挖掘。

据悉，新版 .NET 漏洞赏金计划实现了对微软开发生态系统的全面覆盖。计划现已涵盖所有受支持版本的 .NET 和 ASP.NET，并将覆盖范围扩展至相关技术，例如 F# 编程语言，以及适用于 .NET Framework 的 ASP.NET Core 支持版本。此外，还包括与受支持 .NET 与 ASP.NET Core 版本捆绑提供的模板，以及这两个技术栈在 GitHub 上的官方 Actions 工作流。

具体奖励金额方面，微软将为影响.NET 和 ASP.NET Core 的关键远程代码执行和提权漏洞支付 4 万美元（现汇率约合 28.8 万元人民币）的奖励；为“关键安全功能绕过漏洞”提供 3 万美元（现汇率约合 21.6 万元人民币）奖励；为“关键远程拒绝服务漏洞”提供 2 万美元（现汇率约合 14.4 万元人民币）奖励。

参考链接：

https://mp.weixin.qq.com/s/eGM3SEWO0cjutjKCx83dHA