iCloud日历被滥用从Apple服务器发送垂钓邮件

首页 > 安全钻研 > 安全传递 > 安全简讯

iCloud日历被滥用从Apple服务器发送垂钓邮件

颁布功夫 2025-09-09

1. iCloud日历被滥用从Apple服务器发送垂钓邮件

9月7日，近期一种利用iCloud日历约请职能的新型网络垂钓攻击曝光。攻击者通过创建蕴含垂钓文本的iCloud日历事务，并约请节造的表部邮箱地址，导致Apple官方服务器自动发送假装成PayPal付款通知的垂钓邮件。此类邮件宣称用户账户被扣款599美元，附佑装支持电话”诱导受害者拨打诳骗号码，进而通过远程接见窃取资金、部署恶意软件或窃取数据。该攻击奇妙利用了Apple邮件服务器的信赖背书：邮件通过SPF、DMARC和DKIM三沉安全认证，显示为“合法起源”，极大降低了被垃圾邮件过滤器拦截的概率。具体机造显示，攻击者在iCloud日历的Notes字段嵌入垂钓内容，约请Microsoft 365邮箱地址，当邮件经由Microsoft 365邮件列表转发时，系统通过发件人沉写规划（SRS）将返回蹊径批改为关联地址，维持SPF查抄通过，确保邮件直达收件箱。此类攻击与PayPal“新地址”垂钓手法类似，均依赖合法平台职能执行糊弄。只管垂钓钓饵自身无创新，但结合Apple服务器背书和日历约请的“官方属性”，攻击更具蛊惑性。

https://www.bleepingcomputer.com/news/security/icloud-calendar-abused-to-send-phishing-emails-from-apples-servers/

2. Anuvu遭黑客攻击泄录感数据，露出航空客户Starlink使用信息

9月5日，机上娱乐与衔接服务提供商Anuvu（原Global Eagle）遭逢严沉数据泄露事务，攻击者在暗网论坛宣称窃取大量治理员级别凭证，可接见其AWS及Postgres数据库。泄露内容蕴含海事客户公司名称、Salesforce标识符及市场类型；2024年用户凭证（含全名、邮箱、密码哈希、地址）；治理人员幼我信息及办公地址；更关键的是，Starlink合同明细遭露出，直接显示哪些客户通过Anuvu使用Starlink服务。Anuvu作为年收入约3.7亿美元、服务全球150余家航空公司及30家邮轮公司的行业巨头，其合作同伴涵盖法航、达美航空等驰名航司。这次攻击露出的敏感信息存在多沉风险：攻击者可能利用未批改的2024年密码执行凭证填充攻击；泄露的客户信息可被用于定向垂钓攻击，或提前锁定攻击指标；治理人员及用户地址的露出更可能引发二次社会工程攻击。Anuvu方面尚未对此事作出正式回应。

https://cybernews.com/security/anuvu-airline-data-breach-credentials/

3. NPM供给链遭垂钓攻击：高下载量包被注入加密劫持恶意软件

9月8日，近日一场针对NPM软件包的供给链攻击引发宽泛关注。攻击者通过垂钓邮件入侵软件包守护者Josh Junon（qix）等账户，利用伪造npmjs.com域名的npmjs[.]help网站，以"2FA凭证过期将锁定账户"为由诱导点击链接，进而注入恶意代码至高下载量NPM包中。据分析，被劫持的18个软件包每周总下载量超26亿次，蕴含debug（3.576亿次）、chalk（2.9999亿次）、ansi-styles（3.7141亿次）等主题工具。恶意代码通过注入index.js文件，在浏览器端运行基于浏览器的拦截器，监控以太坊、比特币等加密钱币买卖，当检测到网络响应蕴含加密买卖时，自动将指标钱包地址代替为攻击者节造地址，劫持买卖署名前的资金流向，且用户无显著感知。该恶意软件通过挂钩JavaScript函数及钱包API实现流量篡改，不仅批改网页显示内容，还直接把持API挪用及用户签署的买卖内容，形成多档次攻击。NPM团队已垂危删除部门恶意版本，但部门包仍存在风险。

https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/

4. Plex身份验证信息失窃，用户需垂危沉置密码

9月8日，媒体流媒体平台Plex近日遭逢严沉数据泄露事务，黑客从其数据库中窃取了客户身份验证数据，涉及电子邮件地址、用户名、安全散列密码及身份验证数据。Plex在通知中证实，未经授权的第三方接见了"有限的客户数据子集"，蕴含电子邮件、用户名和经过安全散列处置的密码，但强调支付卡信息未存储于服务器故未受波及。只管Plex宣称密码已按"最佳实际"进行安全散列，但未公开具体哈希算法，这增长了攻击者尝试破解密码的风险。为此，Plex强烈建议用户立即通过官网沉置密码，并启用"更改密码后退出衔接设备"选项，此操作将强造所有使用旧凭证的设备沉新登录。对于使用单点登录（SSO）的用户，需接见安全页面点击"退出所有设备"按钮，终止所有活动会话后沉新认证。Plex出格提醒用户启用双成分身份验证（2FA）以加强账户�；�，并沉申绝不会通过电子邮件索要密码或信誉卡信息。公司暗示已建复服务器入侵缝隙，但未披露具体技术细节。

https://www.bleepingcomputer.com/news/security/plex-tells-users-to-reset-passwords-after-new-data-breach/

5. 思科ASA设备遭大规模网络扫描，警惕新缝隙风险

9月8日，网络安全钻研人怨仉对思科ASA设备的大规模网络扫描活动发出预警，该景象或预示产品即将出现新缝隙。据GreyNoise监测，8月底出现两次显著扫描峰值，涉及2.5万个唯一IP地址探测ASA登录门户及Cisco IOS Telnet/SSH服务。其中，8月26日第二波攻击中，80%的扫描流量源自巴西僵尸网络，涉及约1.7万个IP地址。两波攻击均使用高度类似的Chrome用户代理，暗示存在共同威胁起源。扫描活动重要集中在美国，同时覆盖英国和德国。扫描行为既可能是针对已建复缝隙的失败利用尝试，也可能是为新缝隙利用进行的枚举和映射工作。系统治理员"NadSec – Rat5ak"的汇报显示，有关活动自7月31日起以低频扫描启动，8月中旬逐步升级，8月28日达到单日20万次点击的峰值，流量出现高度自动化特点，源自Nybula、Cheapy-Host和Global Connectivity Solutions LLP三个ASN。为应对风险，建议治理员立即利用Cisco ASA最新安全补丁，对所有远程登录执行多成分认证（MFA），预防直接露出/+CSCOE+/logon.html、WebVPN、Telnet或SSH服务。如需表部接见，应通过VPN集中器、反向代理或接见网关成立额表节造层。同时，可利用GreyNoise和Rat5ak汇报中的扫描指标进行关闭和限度。

https://www.bleepingcomputer.com/news/security/surge-in-networks-scans-targeting-cisco-asa-devices-raise-concerns/

6. GhostAction供给链攻击致超3300个机密泄露

9月8日，GitGuardian钻研人员披露一路名为“GhostAction”的GitHub供给链攻击事务，已导致3325个机密信息泄露，涵盖PyPI、npm、DockerHub、GitHub令牌及Cloudflare、AWS等关键凭证。这次攻击始于2025年9月2日，以FastUUID项目为首个指标，通过劫持守护者账户提反目意GitHub Actions工作流文件实现。攻击者利用该文件在“推送”或手动调度时自动触发，从GitHub Actions环境读取机密，并通过curl POST要求将数据泄露至攻击者节造的表部域。调查显示，攻击领域远超FastUUID，涉及至少817个存储库，所有恶意提交均指向统一泄露端点。攻击者通过枚举合法工作流中的机密名称并硬编码至恶意剧本，窃取了PyPI令牌、npm令牌、DockerHub令牌、GitHub令牌、Cloudflare API令牌、AWS接见密钥及数据库凭证等多类机密。只管FastUUID的PyPI令牌被窃，但未发现恶意软件包颁布。GitGuardian于9月5日向573个受影响存储库提交GitHub问题，并同步通知GitHub、npm、PyPI安全团队。目前，100个存储库已检测并复原恶意更改，泄露端点在事务曝光后终场解析。钻研人员指出，至少9个npm包和15个PyPI包可能因机密泄露颁布恶意版本，威胁多个包生态系统。

https://www.bleepingcomputer.com/news/security/hackers-steal-3-325-secrets-in-ghostaction-github-supply-chain-attack/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研