2025年12月威胁情报：供应链攻击与恶意软件分析

威胁情报团队结合全球威胁研究人员和数据科学家，利用数据分析和机器学习领域的专有技术，分析世界上规模最大、最多样化的威胁数据集合之一。研究团队提供战术威胁情报，为弹性的威胁检测与响应提供动力——即使组织的攻击面扩大、技术演进、对手改变其战术、技术和程序。

威胁情报更新提供了最新的威胁新闻，包括对安全产品检测的最新更新以及开放威胁情报共享社区中发布的新威胁情报。

威胁情报新闻

NPM供应链攻击：Shai-Hulud 再次来袭

早在2025年9月23日，某机构就警告了影响500个npm软件包的广泛供应链攻击。这种自我复制的蠕虫以用于上传凭证的仓库名称被命名为“Shai-Hulud”。本月，Shai-Hulud 2.0蠕虫卷土重来，使JavaScript生态系统面临其最激进的供应链攻击之一，超过700个npm软件包受到感染。

在11月21日至24日期间，Shai-Hulud背后的威胁行为者将数百个流行软件包——包括来自多个知名工具的软件包——进行了木马化，注入了在安装完成前执行的恶意预安装脚本。这一策略允许早期访问开发者环境和CI/CD流水线，从而实现大规模凭证窃取。被盗取的机密信息包括GitHub令牌、npm凭证和多云API密钥，这些信息被外泄到攻击者控制的标记为“Shai-Hulud: The Second Coming”的GitHub仓库。

与第一次攻击相比，其影响呈指数级增长：超过25,000个仓库被入侵，数百个npm软件包被感染，数千个机密信息被暴露。蠕虫的自我传播特性使每个受害者都成为一个放大器——重新发布恶意版本并注入用于远程命令执行的非法GitHub工作流。这次攻击对开源生态系统构成了系统性风险，因为即使是一个被入侵的依赖项也可能在数千个下游项目中产生连锁反应。建议组织审核依赖项、清除npm缓存、轮换所有凭证、强制执行多因素认证并强化CI/CD流水线以防止进一步传播。

Operation Endgame：Rhadamanthys 信息窃取软件被瓦解

11月中旬，执法机构对网络犯罪生态系统给予了重大打击，瓦解了Rhadamanthys背后的基础设施，这是最猖獗的信息窃取恶意软件家族之一。在Operation Endgame的协调下，某机构与某机构——连同来自11个国家的当局和超过30个私营部门合作伙伴——在11月10日至14日期间查封了1,025台服务器和20个域名。被破坏的基础设施支持了数十万台受感染系统，并包含数百万个被盗凭证以及对超过10万个加密货币钱包的访问权限，潜在价值达数百万欧元。

Rhadamanthys作为恶意软件即服务平台运营，为网络犯罪分子提供用于凭证窃取、浏览器数据收集和加密货币钱包外泄的订阅模式。其隐蔽性和可扩展性使其成为勒索软件运营商和访问代理商的基石。

跟踪、检测与狩猎能力

团队创建了以下对手跟踪器，以自动识别和检测部署的恶意基础设施：ClearFake、ValleyRAT、SystemBC、PureLogs、TinyLoader。此外，以下跟踪器已更新：StealC、Tycoon2FA 和 XWorm。

ClearFake 是一个部署在受感染网站（最常见的是WordPress）上的恶意JavaScript框架，用于提供欺骗性的浏览器更新提示和虚假验证页面，例如FakeCAPTCHA。该恶意软件依赖一个庞大且快速移动的基础设施。自月初被添加为跟踪目标以来，ClearFake的活动激增，占据了该跟踪器统计数据的近四分之三的IOC。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。

团队已确定以下恶意软件/威胁行为者在11月份最为活跃。
图1：2025年11月恶意软件趋势。
跟踪器已为跟踪的不同家族识别了超过11,616个新IOC，其中最大的推动力来自ClearFake。11月份最繁忙的跟踪器是：
图2：2025年11月跟踪器新IOC统计。

安全产品检测改进

在11月，团队添加或更新了18条安全产品检测规则和5条网络入侵检测系统规则。以下是团队开发和改进的一些示例：

• 新增规则集，包含针对密码管理工具的新检测，例如不可能旅行、暴力破解后成功认证或禁用多因素认证。
• 新增检测，用于识别修改注册表键LocalAccountTokenFilterPolicy以获取特权访问的行为。
• 针对Gh0stKCP协议和Danabot活动的网络入侵检测系统检测。

请访问成功中心查看改进、新增项、发现的问题以及创建的任务的完整列表。

开放威胁情报交换

开放威胁情报交换是世界上最大的开放威胁情报共享社区之一，由来自全球140个国家的330,000名威胁研究人员组成，他们每天向平台发布威胁信息。威胁情报团队验证、分析和丰富这些威胁情报。成员受益于集体研究，可以为社区做出贡献、分析威胁、创建公共和私人威胁情报共享群组等。在此处了解更多关于开放威胁情报交换、其优势以及如何加入的信息。

新的开放威胁情报交换情报脉搏

团队根据其研究和发现，持续在开放威胁情报交换中发布新的情报脉搏。脉搏是关于威胁、威胁行为者、活动等的交互式且可研究的信息库，包括对成员有用的入侵指标。11月，实验室团队创建了99个新的情报脉搏，为最新威胁和活动提供了覆盖。以下是一些最新相关情报脉搏的示例：

• Shai-hulud 2.0 活动瞄准云和开发者生态系统
• RONINGLOADER：DragonBreath滥用受保护进程的新途径
• 俄罗斯RomCom利用SocGholish向支持乌克兰的美国公司投递Mythic Agent。
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）