网络安全威胁情报月报：攻击追踪与检测技术剖析

原创

qife122

发布于 2026-01-20 06:24:37

1440

威胁情报更新摘要

威胁情报团队结合全球威胁研究人员和数据科学家，并利用数据分析和机器学习专有技术，分析全球最大、最多样化的威胁数据集合之一。研究团队提供战术威胁情报，为有韧性的威胁检测和响应提供动力——即使组织的攻击面扩大、技术演进、对手改变其战术、技术和程序。

本更新提供最新的威胁新闻，包括对某安全平台检测的最新更新，以及发布在开放威胁情报交换平台上的新威胁情报，该平台是全球最大的开放威胁情报共享社区之一。

LevelBlue SpiderLabs 威胁情报新闻

Npm供应链攻击：Shai-Hulud 再次来袭

早在2025年9月23日，某机构就曾警告过一场影响500个npm软件包的广泛供应链泄露事件。这种自我复制的蠕虫以用于上传凭据的代码仓库名称命名为“Shai-Hulud”。本月，Shai-Hulud 2.0蠕虫卷土重来，使JavaScript生态系统面临其最激进的供应链泄露之一，超过700个npm软件包被感染。

在11月21日至24日期间，Shai-Hulud背后的威胁行为者将数百个流行软件包（包括来自某些特定服务的软件包）进行了木马化，注入了恶意的预安装脚本，这些脚本在安装完成前执行。这一策略使得攻击者能够早期访问开发环境和CI/CD流水线，从而实现大规模凭据窃取。被盗的秘密包括GitHub令牌、npm凭据和多云API密钥，它们被外泄到攻击者控制的、标记为“Shai-Hulud: The Second Coming”的GitHub代码仓库。

与第一次攻击相比，其影响呈指数级增长：超过25，000个代码仓库被泄露，数百个npm软件包被感染，数千个秘密被暴露。蠕虫的自我传播特性使每个受害者都成为放大器——重新发布恶意版本并注入用于远程命令执行的恶意GitHub工作流。这次攻击对开源生态系统构成了系统性风险，因为即使一个被泄露的依赖项也可能在数千个下游项目中级联传播。敦促组织审计依赖项、清除npm缓存、轮换所有凭据、强制执行多因素认证并加固CI/CD流水线以防止进一步传播。

Operation Endgame: Rhadamanthys 信息窃取器被摧毁

11月中旬，执法机构对网络犯罪生态系统给予了重大打击，摧毁了Rhadamanthys背后的基础设施，该恶意软件家族是最猖獗的信息窃取器之一。在“Operation Endgame”行动协调下，某国际执法机构与来自11个国家的当局以及超过30个私营部门合作伙伴一道，在11月10日至14日期间查封了1，025台服务器和20个域名。被破坏的基础设施支持了数十万台受感染系统，包含了数百万个被盗凭据以及对超过10万个加密货币钱包的访问权，潜在价值达数百万欧元。

Rhadamanthys作为恶意软件即服务平台运作，向网络犯罪分子提供凭据盗窃、浏览器数据收集和加密货币钱包外泄的订阅模式。其隐蔽性和可扩展性使其成为勒索软件操作者和访问代理的基石。

追踪、检测与猎杀能力

威胁情报团队创建了以下对手追踪器，用于自动识别和检测已部署的恶意基础设施：ClearFake、ValleyRAT、SystemBC、PureLogs、TinyLoader。此外，以下追踪器也进行了更新：StealC、Tycoon2FA和XWorm。

ClearFake是一个部署在受感染网站（最常见的是WordPress）上的恶意JavaScript框架，用于传递欺骗性的浏览器更新提示和虚假验证页面，例如FakeCAPTCHA。这种恶意软件依赖于一个庞大且快速移动的基础设施。自本月开始被添加为跟踪目标以来，ClearFake的活动激增，占据了追踪器统计数据的近四分之三。其规模和适应性使其成为当前观察到的最突出的基于网络的恶意软件活动之一。

团队已确定以下恶意软件/威胁行为者在11月份最为活跃。

图1：2025年11月恶意软件趋势。

相关追踪器已为不同跟踪家族识别了超过11，616个新的威胁指标，其中最大的推动力来自ClearFake。11月份最活跃的追踪器是：

图2：2025年11月来自相关追踪器的新威胁指标。