威胁情报团队概览

这是威胁情报单位的更新，该单位包括一个由威胁研究人员和数据科学家组成的全球团队。该团队结合专有的数据分析和机器学习技术，分析全球规模最大、最多样化的威胁数据集合之一。

研究团队提供战术威胁情报，为弹性的威胁检测和响应提供动力——即使组织的攻击面不断扩大、技术不断演进、攻击者不断改变其策略、技术和程序。

月度更新提供最新的威胁新闻，包括近期对威胁检测工具的更新以及发布在开放威胁情报交换平台上的新威胁情报。该平台是全球最大的开放威胁情报共享社区之一。

月度威胁情报新闻

Npm供应链攻击：Shai-Hulud 再次来袭

早在2025年9月23日，某国家网络安全机构就曾发布警告，称一次广泛的供应链攻击影响了500个npm软件包。这种自我复制的蠕虫被命名为“Shai-Hulud”，其名称来源于一个用于上传凭据的代码仓库名称。本月，Shai-Hulud 2.0蠕虫卷土重来，使JavaScript生态系统面临其最激进的供应链攻击之一，超过700个npm软件包被感染。

在11月21日至24日期间，Shai-Hulud背后的威胁行为者将数百个流行软件包（包括来自多个知名技术公司的软件包）木马化，注入了恶意的预安装脚本，这些脚本在安装完成前执行。这一战术使得攻击者能够早期访问开发环境和持续集成/持续交付管道，从而实现大规模凭据窃取。被盗的机密信息包括代码托管平台令牌、npm凭据和多个云服务商的API密钥，这些信息被泄露到攻击者控制的、标记为“Shai-Hulud：第二次降临”的代码仓库。

与第一次攻击相比，本次攻击的影响呈指数级增长：超过25,000个代码仓库被入侵，数百个npm软件包被感染，数千个机密信息暴露。该蠕虫的自我传播特性使每个受害者都成为放大器——重新发布恶意版本并注入用于远程命令执行的恶意工作流。这次攻击代表了开源生态系统的系统性风险，因为即使是一个被入侵的依赖项也可能在数千个下游项目中级联传播。建议组织审计依赖项、清除npm缓存、轮换所有凭据、强制执行多因素身份验证并强化持续集成/持续交付管道以防止进一步传播。

Operation Endgame：Rhadamanthys信息窃取器被捣毁

11月中旬，执法机构对网络犯罪生态系统进行了重大打击，捣毁了Rhadamanthys背后的基础设施，这是最多产的信息窃取恶意软件家族之一。在“Operation Endgame”行动框架下协调，欧洲刑警组织与欧洲司法组织——以及来自11个国家的当局和超过30个私营部门合作伙伴——在11月10日至14日期间查封了1,025台服务器和20个域名。被破坏的基础设施支撑了数十万台受感染的系统，包含了数百万个被盗凭据以及超过10万个加密货币钱包的访问权限，其潜在价值可能高达数百万欧元。

Rhadamanthys作为恶意软件即服务平台运作，向网络犯罪分子提供订阅模式，用于凭据窃取、浏览器数据收集和加密货币钱包窃取。其隐蔽性和可扩展性使其成为勒索软件运营者和访问代理商的基石。

追踪、检测与狩猎能力

威胁研究团队创建了以下追踪器来自动识别和检测部署的恶意基础设施：ClearFake、ValleyRAT、SystemBC、PureLogs、TinyLoader。此外，以下追踪器已更新：StealC、Tycoon2FA和XWorm。

ClearFake是一个部署在受攻击网站（最常见的是WordPress）上的恶意JavaScript框架，用于传递欺骗性的浏览器更新提示和虚假验证页面，例如FakeCAPTCHA。此恶意软件依赖庞大且快速移动的基础设施。自本月初被添加为追踪目标以来，ClearFake的活动激增，占据了追踪器统计数据的近四分之三。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。

团队已确定以下恶意软件/威胁行为者在11月期间最为活跃。
图1：2025年11月恶意软件趋势。
追踪器已为不同追踪家族识别了超过11，616个新的威胁指标，最大的增长来自ClearFake。11月期间最活跃的追踪器包括：
图2：2025年11月来自追踪器的新威胁指标。

威胁检测工具检测改进

在11月，威胁研究团队添加或更新了18条威胁检测规则和5条网络入侵检测系统检测规则。以下是团队开发的一些改进和新元素示例：

• 新增规则集，包含针对密码管理器的新检测，例如异常位置登录、暴力破解后成功认证或禁用多因素认证。
• 新增检测规则，用于识别修改注册表项LocalAccountTokenFilterPolicy以获取特权访问。
• 针对Gh0stKCP协议和Danabot活动的网络入侵检测系统检测规则。

请访问支持中心查看完整的改进、新元素、发现的问题及创建的任务列表。

开放威胁情报交换

开放威胁情报交换平台是全球最大的开放威胁情报共享社区之一，由来自全球140个国家的330，000名威胁研究人员组成，他们每天向平台发布威胁信息。威胁研究单位验证、分析并丰富这些威胁情报。平台成员受益于集体研究，可以为社区做出贡献，分析威胁，创建公共和私人威胁情报共享小组等。

新的威胁情报脉搏

威胁研究团队根据其研究和发现，持续在开放威胁情报交换平台上发布新的“脉搏”。“脉搏”是关于威胁、威胁行为者、攻击活动等的交互式和可研究的信息库。这包括对成员有用的威胁指标。在11月，实验室团队创建了99个新的“脉搏”，为最新威胁和攻击活动提供了覆盖。以下是一些最相关的新“脉搏”示例：

• Shai-hulud 2.0 攻击活动瞄准云和开发者生态系统
• RONINGLOADER：DragonBreath滥用受保护进程的新路径
• 俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投递Mythic代理。
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）