•工信部等三部门印发《电子信息制造业数字化转型实施方案》

•恶意软件藏身AI模型，专门针对阿里巴巴AI实验室用户

•数据经纪巨头LexisNexis遭遇数据泄露，超36.4万用户敏感信息泄露

•威胁行为者冒充知名电子签名平台发起钓鱼攻击，窃取企业数据

•"AyySSHush"僵尸网络入侵超9000台华硕路由器，建立不死后门

•Ivanti漏洞被利用进行链式攻击，英国NHS医疗数据面临风险

•XenServer VM Tools for Windows严重安全缺陷允许攻击者执行任意代码

•OneDrive文件选择器漏洞让应用获取用户云存储完整访问权限

•网络安全初创公司Horizon3.ai启动新一轮融资，有望筹集1亿美元

•Cisco Duo推出安全优先IAM解决方案，应对AI时代身份威胁

日前，工业和信息化部、国家发展改革委、国家数据局联合印发《电子信息制造业数字化转型实施方案》（以下简称《实施方案》），着力拓展电子信息制造业数字化转型、智能化升级的广度和深度，巩固电子信息制造业稳增长内生动力，不断提升电子信息技术和产品对其他行业数字化转型赋能力度，助力推动新型工业化和制造强国建设。

《实施方案》明确提出，到2027年，规模以上电子信息制造业企业关键工序数控化率超过85%，典型场景解决方案全面覆盖，服务能力明显增强。到2030年，建立较为完备的电子信息制造业数据基础制度体系，形成一批标志性智能产品，数字服务和标准支撑转型的环境基本完善，向全球价值链高端延伸取得新突破。

《实施方案》围绕加快核心数智技术攻关应用、“点线面”一体化推进数转智改、加快高端化智能化绿色化协同提级跃升、夯实软硬协同的多元化转型基础、强化数字化转型服务保障五大方面，提出推进关键核心技术攻关、强化先进计算和人工智能赋能作用、加快电子信息产品智能化升级、挖掘推广重点环节数字化转型典型场景和解决方案、支持建设智慧安全的供应链体系、加快培育高端电子信息智能产品、培育壮大智能化绿色化融合产业、建立健全标准体系、完善数字化转型公共服务体系等18项重点任务。

原文链接：

https://mp.weixin.qq.com/s/bk3HhTgnzFIavQbtPs_o1A

网络安全公司ReversingLabs近日发现，黑客正通过在人工智能和机器学习模型中隐藏恶意代码的新手法传播恶意软件。研究人员在Python包索引（PyPI）平台上发现了三个恶意软件包，它们伪装成阿里云AI实验室服务的Python SDK，专门针对阿里巴巴AI实验室的用户。

这些名为 aliyun-ai-labs-snippets-sdk、ai-labs-snippets-sdk 和 aliyun-ai-labs-sdk 的恶意包实际上没有任何AI功能。一旦安装，它们会秘密释放一个信息窃取程序。该恶意代码被隐藏在PyTorch模型内部。PyTorch模型本质上是压缩的Pickle文件，而Pickle是Python中常用的数据保存和加载格式，但由于可以在其中隐藏恶意代码，因此存在安全风险。

这些恶意包从5月19日开始在PyPI上可用，虽然不到24小时就被移除，但已被下载约1600次。窃取的信息包括被感染计算机的基本详情和.gitconfig文件，后者通常包含开发人员的敏感信息。

随着AI和ML在日常软件中的广泛应用，它们已成为软件供应链的一部分，为攻击者创造了新机会。安全工具才刚开始应对这种新威胁，突显了软件开发中加强所有类型文件安全措施的紧迫性。

原文链接：

https://hackread.com/malware-ai-models-pypi-targets-alibaba-ai-labs-users/

数据经纪公司 LexisNexis Risk Solutions 近日披露了一起严重数据泄露事件，影响超过36.4万人。该公司在向美国缅因州总检察长提交的文件中表示，这起始于2024年12月25日的数据泄露事件，使黑客能够从公司用于软件开发的第三方平台获取消费者的敏感个人数据。

LexisNexis证实，一名身份不明的黑客入侵了公司的GitHub账户。被窃取的数据包括姓名、出生日期、电话号码、邮寄和电子邮件地址、社会安全号码以及驾照号码等敏感信息。该公司表示于2025年4月1日收到"一个声称已获取某些信息的未知第三方"的报告，但未透露是否收到黑客的勒索要求。

作为数十亿美元数据经纪行业的一部分，LexisNexis利用大量消费者信息帮助企业检测潜在欺诈交易，并对潜在客户进行风险评估和尽职调查。该公司的数据还被执法机构用于获取嫌疑人的个人信息，如姓名、家庭住址和通话记录。

值得注意的是，特朗普政府本月早些时候取消了一项可能限制数据经纪商销售美国人个人和财务信息的计划，尽管隐私倡导者长期呼吁关闭这一漏洞。

原文链接：

https://techcrunch.com/2025/05/28/data-broker-giant-lexisnexis-says-breach-exposed-personal-information-of-over-364000-people/

网络犯罪分子正越来越多地利用电子签名平台DocuSign发起复杂的钓鱼活动，旨在窃取企业凭证和敏感数据。DocuSign拥有全球1.6亿客户，包括95%的财富500强企业和超过10亿用户，该平台已成为威胁行为者利用其广泛认可品牌信任度的理想攻击媒介。

Welivesecurity分析师指出，钓鱼攻击现已成为19%数据泄露的初始访问载体，其中60%涉及人为因素。这些攻击通常表现为带有令人信服的DocuSign品牌的欺骗性电子邮件，完整呈现用户在日常业务操作中习惯信任的黄色"审阅文档"按钮。网络犯罪分子不再仅仅创建虚假电子邮件，而是注册合法的DocuSign账户并利用该平台的API发送伪装成知名品牌和企业实体的真实信封，旨在增加检测难度，因为当恶意负载和合法业务通信都来自经过验证的DocuSign服务器时，安全系统难以区分二者。

这些攻击通常在合法DocuSign附件中嵌入QR码，要求受害者使用通常缺乏全面安全软件的移动设备扫描。一旦扫描，受害者会被重定向到模仿Microsoft登录页面或其他企业认证门户的钓鱼网站，凭证被窃取用于后续网络渗透。成功的攻击影响远超简单的凭证窃取，可为威胁行为者提供企业网络中的关键立足点，实现权限提升、横向移动，最终导致数据窃取或勒索软件部署。

原文链接：

https://cybersecuritynews.com/threat-actors-impersonate-fake-docusign-notifications/

复杂僵尸网络活动"AyySSHush"已经在全球范围内入侵了超过9000台华硕路由器，建立了能够在固件更新和重启后依然存在的持久性后门访问。这一隐蔽行动于2025年3月首次被发现，展示了黑客组织的高级技术，通过利用认证漏洞和路由器的合法功能来维持长期控制，而无需部署传统恶意软件。

攻击者采用多阶段利用技术，首先对华硕路由器界面进行暴力登录尝试，随后利用两个此前未公开的认证绕过漏洞。获得特权访问后，威胁行为者利用CVE-2023-39780（华硕路由器固件中的一个经过认证的命令注入漏洞）执行任意系统命令。关键的攻击载荷通过POST请求到 /start_apply.htm的oauth_google_refresh_token 参数，注入命令启用带宽SQL日志功能。攻击者随后在非标准TCP端口53282上启用SSH访问，并注入其公共SSH密钥，这一配置更改利用存储在非易失性内存中的官方华硕设置，使其在固件升级后仍然存在。

GreyNoise通过其AI驱动的威胁搜寻工具"Sift"发现了这一活动，该工具在数百万日常互联网流量模式中标记出了仅三个异常的HTTP POST请求。已确认四个IP地址为入侵指标：101.99.91.151、101.99.94.173、79.141.163.179和111.90.146.237。

安全专家建议立即检查华硕路由器上TCP端口53282的未授权SSH服务，并检查authorized_keys文件中是否存在攻击者的公钥。对于疑似被入侵的设备，应进行出厂重置，然后使用强认证凭据完全重新配置。

原文链接：

https://cybersecuritynews.com/new-botnet-hijacks-9000-asus-routers/

据荷兰网络安全公司EclecticIQ报告，黑客正在利用Ivanti Endpoint Manager Mobile（EPMM）的安全漏洞发起恶意攻击活动，目标包括英国、美国、德国、爱尔兰、斯堪的纳维亚、韩国和日本等多国组织。

在英国，伦敦大学学院医院NHS基金会信托和南安普顿大学医院NHS基金会信托这两家国家医疗服务体系（NHS）机构可能成为受害者，患者数据有可能被泄露。此类攻击可能导致"未经授权访问高度敏感的患者记录"，包括员工电话号码、IMEI号码和认证令牌等技术数据。NHS英格兰表示正在监控情况并与英国国家网络安全中心（NCSC）合作，目前医疗服务未受影响，患者可以正常使用NHS服务。

这次攻击涉及两个Ivanti EPMM漏洞的链式利用：CVE-2025-4427（CVSS评分5.3）和CVE-2025-4428（CVSS评分7.2）。当这两个漏洞被链式利用时，攻击者可以通过CVE-2025-4427绕过认证，然后利用CVE-2025-4428实现远程代码执行，造成严重影响。Ivanti于5月13日发布了补丁，而安全公司WatchTowr在5月15日发布了技术分析和概念验证利用代码。

原文链接：

https://www.infosecurity-magazine.com/news/ivanti-vulnerability-exploit-could/

XenServer VM Tools for Windows被发现存在三个严重安全缺陷，允许攻击者在客户操作系统中执行任意代码并提升权限，影响所有9.4.1版本之前的XenServer VM Tools for Windows。

这些安全缺陷源于Windows PV驱动程序中用户可访问设备的过度权限，具体影响三个核心组件：XenCons、XenIface和XenBus。这些组件没有安全描述符，因此非特权用户可以完全访问。这些缺陷使Windows客户操作系统内的非特权用户能够将权限提升至客户内核级别。攻击者可以利用这些缺陷以系统级权限执行任意代码，潜在地危及敏感数据，安装恶意软件，或将被入侵的虚拟机用作网络内横向移动的跳板。

为解决这些缺陷，Citrix和XenServer已发布XenServer VM Tools for Windows 9.4.1版本。安全专家建议管理员立即通过Citrix支持直接下载、Windows更新机制或管理代理自动更新功能，将所有Windows虚拟机更新到最新版本。对于无法立即修补的环境，可使用PowerShell缓解脚本进行临时修复，但该脚本仅解决XenIface驱动程序漏洞。

原文链接：

https://cybersecuritynews.com/xenserver-vm-tools-windows-vulnerability/

网络安全公司Oasis Security最新研究揭示，Microsoft OneDrive文件选择器在处理权限时存在严重缺陷，导致包括ChatGPT、Slack、Trello和ClickUp在内的数百个流行网络应用程序可能获取比用户意识到的更多数据访问权限。

问题出在OneDrive文件选择器请求OAuth权限的方式上。当用户选择上传或下载单个文件时，系统并非仅限制访问用户选择的特定文件，而是向连接的应用程序授予对整个OneDrive的广泛读取或写入权限。这意味着应用程序可能能够查看或修改用户云存储中的所有内容，并长期保持这种访问权限。OneDrive的同意屏幕虽然暗示只有选定的文件会被访问，但实际上应用程序获得了对整个云盘的全面权限。更令人担忧的是，旧版OneDrive文件选择器（6.0至7.2版）使用过时的认证流程，将敏感访问令牌暴露在不安全的位置。即使是最新的8.0版本，仍以明文形式将这些令牌存储在浏览器会话存储中。

Oasis Security估计，数百个使用OneDrive文件选择器的应用程序使数百万用户面临风险。例如，ChatGPT用户可以直接从OneDrive上传文件，可能过度授权的规模十分庞大。用户应检查哪些第三方应用程序有权访问其Microsoft账户，并撤销不再信任的应用权限。企业则应审查Entra管理中心中的企业应用程序，并监控服务主体权限。

原文链接：

https://hackread.com/onedrive-file-picker-apps-full-access-user-drives/

提供自动化渗透测试等工具的网络安全初创公司Horizon3.ai，正寻求在新一轮融资中筹集1亿美元资金，目前已锁定至少7300万美元，该公司本周在SEC文件中披露了这一消息。

Horizon3.ai成立于2019年，由前美国特种作战网络操作人员、企业家和网络安全专家组成，专注于开发自主威胁检测工具，帮助组织抵御日益增长的AI驱动自动化攻击。今年2月，公司宣布年收入同比增长101%，超额完成第四季度150%的销售目标。

据知情人士透露，此轮融资由NEA领投，估值可能超过7.5亿美元。公司预计将完成全部1亿美元融资目标，年度经常性收入约为3000万美元。这是NEA在不到一个月内的第二笔重大网络安全投资，此前NEA在4月宣布以8亿美元估值领投Veza的1.08亿美元融资。

原文链接：

https://techcrunch.com/2025/05/28/security-startup-horizon3-ai-is-raising-100m-in-new-round/

Cisco Systems通过其Duo部门推出了全新的Duo身份与访问管理(IAM)解决方案，旨在应对AI时代日益加剧的身份攻击威胁。据Cisco Talos事件响应数据显示，2024年60%的安全事件与身份相关，使其成为黑客的首要攻击目标。

与传统IAM解决方案将安全视为可选功能不同，Duo IAM采用"安全优先"的创新方法，在其可信多因素认证(MFA)基础上构建额外保护层。该解决方案专为抵御现代身份威胁而设计，允许组织安全管理其整个身份基础设施。

Duo IAM包含一个新的用户目录，简化了用户身份(包括用户名、电子邮件和角色)的存储和资源访问管理。该目录与现有Duo功能(如单点登录和多因素认证)配合，使用户通过一个登录页面即可安全访问数百个应用程序。新解决方案还引入了先进的钓鱼防护功能，包括"完全无密码"认证，"邻近验证"等。Duo IAM还与Cisco身份智能集成，允许组织实时监控身份风险并主动响应。

原文链接：

https://siliconangle.com/2025/05/28/cisco-introduces-duo-identity-access-management-enhance-identity-protection-ai-era/