⚡ 每周回顾：MongoDB 攻击、钱包泄露、Android 间谍软件、内部人犯罪等

2025 年上周的网络安全新闻并非围绕单一大型事件，而是多处小漏洞同步出现。人们日常信赖的工具表现异常，旧漏洞复活，新漏洞几乎立即被利用。

2025 年的共同特征是：攻击者动作快于修复；本用于工作、更新或支持的访问权限持续被滥用；事件“结束”后仍会在数月甚至数年后持续显现并造成损害。

本周回顾将这些故事汇聚于此，去除噪声与冗余，帮助您了解 2025 年末期威胁格局的关键变化以及当前值得关注的要点。

⚡ 本周威胁

— 新披露的 MongoDB 安全漏洞已在野外被积极利用，全球已有超过 87,000 台可能受影响的实例被检测到。该漏洞为 CVE‑2025‑14847（CVSS 8.7），允许未认证攻击者远程泄露 MongoDB 服务器内存中的敏感数据，代号 MongoBleed。具体攻击手法尚未公开。建议用户升级至 MongoDB 8.2.3、8.0.17、7.0.28、6.0.27、5.0.32、4.4.30 版本。Censys 数据显示，受影响实例主要分布在美国、中国、德国、印度和法国。Wiz 统计称，42% 的云环境中至少存在一台运行受 CVE‑2025‑14847 影响的 MongoDB 实例，涵盖互联网暴露及内部资源。

🔔 热点新闻

• Trust Wallet Chrome 扩展被攻击导致 700 万美元损失
  — Trust Wallet 要求用户尽快将 Chrome 扩展升级至 2.69 版本，以应对其称之为“安全事件”的攻击，已导致约 700 万美元资金被盗。Trust Wallet 表示已确认该损失，并将为受影响用户退款。该扩展约有 100 万用户，移动端及其他浏览器扩展不受影响。攻击者可能利用泄露的 Chrome Web Store API 密钥发布了恶意 2.68 版。受害者需填写表单以完成赔偿。
• Evasive Panda 发起 DNS 投毒攻击投送 MgBot 恶意软件
  — 与中国关联的高级持续威胁组织 “Evasive Panda” 被归因于一次针对土耳其、中国、印度受害者的高度定向网络间谍活动。攻击者通过 DNS 投毒向目标投送其签名后门 MgBot。活动时间跨 2022 年 11 月至 2024 年 11 月。Kaspersky 发现该组织在受害者设备上进行中间人攻击，投送被篡改的 SohuVA、iQIYI Video、IObit Smart Defrag、腾讯 QQ 等工具更新，以部署 MgBot。投毒方式可能是针对受害者 ISP 的网络植入或路由器/防火墙被入侵。
• LastPass 2022 年泄露导致加密货币被盗
  — 2022 年 LastPass 数据泄露的加密保险库备份被用于破解弱主密码，近期（截至 2025 年底）仍被用于盗取加密资产。TRM Labs 新发现显示，疑似与俄罗斯网络犯罪生态关联的黑客已窃取不少于 3500 万美元。资产主要通过与俄罗斯关联的交易所及混币服务进行洗钱。
• Fortinet 警告 CVE‑2020‑12812 再度被活跃利用
  — Fortinet 观察到其旧版 FortiOS SSL‑VPN 漏洞 CVE‑2020‑12812 在特定配置下被野外利用，攻击者可在用户名大小写被更改的情况下绕过二次认证直接登录。Fortinet 尚未披露具体攻击方式，建议受影响客户联系支持并在发现异常后重置所有凭证。
• npm 恶意 WhatsApp API 包窃取消息
  — 名为 lotusbail 的 npm 包伪装为完整的 WhatsApp API，实际能够拦截所有消息并将攻击者设备与受害者 WhatsApp 账户绑定。自 2025 年 5 月首次上架以来已被下载 56,000+ 次，随后被 npm 删除。安装后攻击者可读取、发送消息、下载媒体、获取通讯录。即使卸载 npm 包，攻击者设备仍保持与受害者 WhatsApp 账户的关联，需手动在 WhatsApp 设置中解绑所有设备。

‎️‍🔥 本周热点 CVE

黑客行动迅速，往往在漏洞披露数小时内即被利用。一次遗漏的补丁可能导致大规模泄露。以下列出本周最严重的安全缺陷，请优先修复关键系统。

本周列表包括 —

（MongoDB），（LangChain Core），（Digiever DS-2105 Pro），（n8n），（Python http.client），（Exim），（Net‑SNMP），（TeamViewer DEX Client），以及 （M‑Files Server）。

📰 全球网络安全动态

• 前 Coinbase 客服人员在印度被逮捕 — Coinbase CEO Brian Armstrong 表示，前客服人员因在印度被逮捕。此前黑客利用贿赂手段获取了客户信息并勒索 2000 万美元。公司已与执法部门合作，切断了涉事外包商的关联。
• Cloud Atlas 针对俄白目标 — 该威胁组织利用恶意 Word 文档下载远程模板，并执行 HTA 文件，进一步植入 VBShower、PowerShower、VBCloud 等后门，主要针对俄罗斯和白俄罗斯的电信、建筑、政府及工厂部门。
• BlackHawk Loader 在野外出现 — 新型 MSIL Loader 采用三层混淆并可能由 AI 生成，包含 VBS 与两段 PowerShell 脚本，被用于在罗马尼亚中小企业分发 Agent Tesla 及信息窃取工具 Phantom。
• Cobalt Strike 服务器激增 — Censys 监测到 2025 年 12 月初至 18 日期间，AS138415 与 AS133199 网络出现超过 200 台新建 Cobalt Strike 监听，随后快速消失，显示短期租赁或测试行为。
• Fly——俄罗斯 Market 管理员曝光 — Intrinsec 追踪到威胁行为人 “Fly” 可能是俄罗斯 Market 盗卖凭证平台的管理员，使用 Gmail 账号注册域名。
• 针对 MENA 的假工作诈骗 — 骗子利用社交媒体发布假工作广告，诱导受害者进入 WhatsApp 群组，再引导至诈骗网站，收取手续费后消失，已波及埃及、海湾国家等地区。
• EmEditor 被攻陷分发信息窃取器 — 黑客篡改 EmEditor Windows 安装程序的下载链接，指向恶意 MSI，安装后可收集系统信息、VPN 配置、浏览器数据及多款常用软件凭证，并植入可窃取剪贴板、记录键盘的 Edge 扩展。
• Docker 免费提供 Hardened Images — Docker 推出超过 1,000 套硬化镜像与 Helm Chart，帮助提升供应链安全。
• Livewire 严重缺陷披露 — CVE-2025-54068（CVSS 9.8）允许未认证攻击者在特定场景下实现远程代码执行，利用 APP_KEY 或通过更新字段的对象注入实现无需 APP_KEY 的 RCE。
• ChimeraWire 恶意软件提升网站 SERP 排名 — 该木马在被感染的 Windows 设备上下载 Chrome、安装自动验证码插件并以隐藏窗口执行搜索点击，提升受害者网站搜索结果排名。
• LANDFALL Android 间谍软件细节揭示 — 该行动利用已修补的三星 Galaxy 零日（CVE‑2025‑21042）通过 WhatsApp 发送特制 DNG 图片触发 com.samsung.ipservice 进程的内存写入，实现无交互代码执行。
• 白俄罗斯记者手机植入 ResidentBat 间谍软件 — 当局在审讯后将 Spyware 植入设备，可窃取通话记录、音频、截图、短信、聊天记录及系统信息，并可自行恢复或恢复出厂设置。
• 前 incident responder 因参与 BlackCat 勒索被判罪 — 前安全专家因在职期间利用工作资源帮助实施 BlackCat 勒索攻击，被判最高 20 年监禁。
• 国会报告称中国利用美能源部研究 — 调查发现 2023‑2025 年间约 4,350 篇研究论文涉及美国能源部与中国军方合作，涉及航空、电子战、雷达欺骗等关键技术。
• 莫斯科法院判处俄罗斯科学家 21 年徒刑 — 阿尔乔姆·霍罗希洛夫因涉嫌与乌克兰 IT 军队协同发动 DDoS 攻击及破坏铁路设施被判刑。
• DIG AI 被恶意使用 — 该暗网大语言模型被用于生成炸弹制造、非法内容及 CSAM 等指令，因托管在 TOR 上难以追踪。
• 中国称美国非法扣押中国公司加密资产 — 中国官方指责美国司法部在 2025 年扣押价值 150 亿美元的比特币属于被黑的中国矿池公司，而非美国指控的公司。

🎥 网络安全网络研讨会

• Zero Trust 与 AI 如何在无文件、无二进制、无指示器的情况下捕获攻击
  — 该网络研讨会阐述零信任与 AI 驱动的防御如何发现隐蔽攻击并保护开发者环境。
• 掌握 Agentic AI 安全：检测、审计并遏制恶意 MCP 服务器
  — 重点介绍 AI 服务器（MCP）隐藏风险、影子 API 密钥问题及防止 AI 生成后门的措施。

🔧 网络安全工具

• GhidraGPT
  — 为 Ghidra 添加 AI 辅助的逆向插件，利用大语言模型解释反编译代码、提升可读性并标注潜在安全问题。
• Chameleon
  — 开源蜜罐工具，可模拟开放端口捕获攻击者行为并通过仪表盘展示网络攻击概览。

免责声明：这些工具仅供学习与研究使用，尚未完成安全性全面测试，若使用不当可能造成危害，请先审查代码并在安全环境中测试，遵守相关法律法规。

结论

本周回顾将各类安全事件集中呈现，以帮助您在 2025 年收官之际剔除噪声、聚焦关键风险。阅读此文可了解塑造威胁格局的主要事件、重复出现的攻击模式以及可能延续至 2026 年的风险。