远程

ChainCatcher 消息，攻击者窃取了 JavaScript 最流行 HTTP 客户端库 Axios 首席维护者的 npm 访问令牌，并利用该令牌发布了两个包含跨平台远程访问木马（RAT）的恶意版本（axios@1.14.1 和 axios@0.3.4），目标覆盖 macOS、Windows 及 Linux 系统。恶意包在 npm 注册表上存活约 3 小时后被移除。据安全公司 Wiz 数据，Axios 每周下载量超 1 亿次，存在于约 80% 的云和代码环境中。安全公司 Huntress 在恶意包上线 89 秒后即检测到首批感染，并在暴露窗口期内确认至少 135 个系统遭到入侵。值得注意的是，Axios 项目此前已部署了 OIDC 可信发布机制和 SLSA 溯源证明等现代安全措施，但攻击者完全绕过了这些防线。调查发现，项目在配置 OIDC 的同时仍保留了传统长期有效的 NPM_TOKEN，而 npm 在两者共存时默认优先使用传统令牌，使得攻击者无需突破 OIDC 即可完成发布。

ChainCatcher 消息，据慢雾监测，Apifox 桌面客户端遭遇供应链攻击，其官方 CDN 托管的前端脚本文件被注入高度混淆的恶意 JavaScript 代码。受影响用户可能面临凭证窃取、敏感数据泄露、远程命令执行等风险，且恶意代码自动执行、高度隐蔽。慢雾建议用户立即撤销所有 Token、重置密码、退出并重新登录以使会话失效，阻止 *.apifox.it.com 域名，清除本地存储，并审查 API 日志和异常活动。

ChainCatcher 消息，据 IT 之家报道，微博宣布接入 Kimi Claw，用户关注@微博龙虾助手并发送私信，即可远程连接与控制 AI 智能体。用户两步即可完成配置：私信 @微博龙虾助手 发送“连接龙虾”；按指引完成密钥配置。设置成功后，用户可通过微博移动端随时下达指令，远程操控龙虾助手执行任务，摆脱 PC 端与复杂 App 依赖，在社交浏览中便捷完成信息分析、内容创作与任务管理。 据介绍，依托微博实时资讯、热点讨论与多元用户生态，微博为 Kimi 提供高活跃的用户触达通道，Kimi 可在资讯解读、行情追踪、事件响应、账号管理等高频场景快速落地。而 Kimi K2.5 模型在 OpenRouter 的 OpenClaw 模型调用榜单上持续排名全球第一。未来，微博计划面向 AI 应用开放博主历史博文、热搜榜等内容获取能力。

ChainCatcher 消息，GoPlus 中文社区在 X 平台发布预警称，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本 (“install.js”)，该脚本会在软件包安装过程中自动执行，进而运行位于 “vendor/scrypt-js/version.js” 中的恶意代码。 恶意代码会通过同一恶意 URL 下载并执行远程访问木马（RAT），实施键盘记录、剪贴板窃取、浏览器凭据收集、TruffleHog 秘密扫描 Git 仓库和 SSH 密钥窃取等恶意行为。此次事件与一个名为 “Famous Chollima” 的朝鲜黑客活动相关。

ChainCatcher 消息，GoPlus Security 警告用户提防一种名为 PromptSpy 的新型 Android 恶意软件。该恶意软件通过钓鱼网站（如伪装成银行网站）诱导用户下载 APK 文件，获取辅助功能权限后能远程控制设备。 PromptSpy 的特殊之处在于利用 Google Gemini API 分析设备界面并制定攻击策略，使其能更好地适应不同手机品牌和系统版本，提高攻击隐蔽性和成功率。

ChainCatcher 消息，慢雾首席信息安全官 23pds 在 X 平台提醒称，一种名为 “graphalgo” 的虚假招聘活动正在利用远程访问木马（RAT）攻击加密货币开发人员。

ChainCatcher 消息，xAI 正在招聘加密货币金融专家（Crypto Finance Expert），时薪 45 美元至 100 美元，该职位为完全远程办公。 该岗位的工作内容是解决量化加密策略中的复杂问题，包括链上数据与资金流分析、DeFi 收益与流动性建模、永续合约与资金费率策略、CEX/DEX 跨市场套利、加密市场微观结构与 MEV 研究、机器学习驱动的加密 Alpha 信号、以及 7×24 小时高波动市场下的组合管理与风险控制。同时需以文本、音频及视频形式产出专业分析，用于 AI 模型训练与基准评测。 候选人所需的关键资质：具备量化金融、计算机科学、统计学等相关硕博背景，或具备同等水平的量化加密货币交易员、系统策略师或链上分析师的专业经验。优秀的英语书面和口头沟通能力，精通加密货币数据源和工具，并拥有出色的分析能力、注重细节以及在信息不全的情况下做出合理判断的能力。

ChainCatcher 消息，据 The Hacker News 报道，Cyata 研究员披露 Anthropic 维护的 mcp-server-git 存在三项严重安全漏洞（CVE-2025-68143/44/45），可被利用执行路径穿越与参数注入，甚至实现远程代码执行。 这些漏洞可通过提示注入被武器化，攻击者仅需控制 AI 助手读取恶意内容即可触发攻击。漏洞已在 2025 年 9 月与 12 月版本中修复，官方已移除 git_init 工具并增强路径校验，建议用户尽快更新至最新版。

ChainCatcher 消息，Anthropic 维护的官方 mcp-server-git 中发现三个安全漏洞。这些漏洞可被通过提示词注入攻击手段利用，攻击者在无需直接访问受害者系统的情况下，通过恶意 README 文件或受损网页即可触发漏洞。这些漏洞包括：CVE-2025-68143（未限制的 git_init）、CVE-2025-68145（路径验证绕过）以及 CVE-2025-68144（git_diff 中的参数注入）。若将这些漏洞与文件系统 MCP 服务器结合使用，攻击者可执行任意代码、删除系统文件，或将任意文件内容读取至大语言模型上下文中。Cyata 指出，由于 mcp-server-git 未对 repo_path 参数进行路径校验，攻击者可在系统任意目录创建 Git 仓库。此外，通过在 .git/config 中配置清理过滤器，攻击者可在无需执行权限的情况下运行 Shell 命令。Anthropic 已于 2025 年 12 月 17 日分配 CVE 编号并提交修复补丁。建议用户将 mcp-server-git 更新至 2025.12.18 或更高版本。

ChainCatcher 消息，慢雾科技首席信息安全官 23pds 在 X 平台发文称，鉴于 React/Next.js 最新远程代码执行漏洞出现新的攻击链，攻击成功率会大幅提升，目前大量 DeFi 平台使用 React，受此漏洞影响的会有很多，各个 DeFi 平台务必注意安全风险。

ChainCatcher 消息，安全研究人员发现朝鲜黑客组织 KONNI 开发了一种新型攻击手法，首次利用 Google 的 Find Hub 资产追踪功能对 Android 设备实施远程数据擦除攻击。 攻击者通过伪装成心理咨询师和人权活动家，在韩国 KakaoTalk 通讯平台分发名为"减压程序"的恶意软件。一旦受害者执行这些文件，攻击者会窃取 Google 账户凭据，利用 Find Hub 功能跟踪设备位置并执行远程重置，导致个人数据被删除。 此次攻击被确认为 KONNI APT 活动的后续行动，该组织与朝鲜政府支持的 Kimsuky 和 APT 37 有密切关联。安全专家建议用户加强账户安全，启用双因素认证，并对通过即时通讯工具接收的文件保持警惕。

ChainCatcher 消息，6 万枚比特币洗钱案主犯钱志敏将在伦敦南华克刑事法庭接受审判。本案将成为中英司法合作、跨境追赃与加密货币资产处置的标志性案件，将有中国办案警官亲赴伦敦出庭作证，多名中国受害者将在中国天津的法院远程视频出庭作证。庭审预计持续 12 周，将在圣诞节前结束。此案涉及跨境洗钱、加密资产追索等问题，被视为数字货币时代对跨境金融犯罪监管和治理的里程碑式考验。钱志敏被控通过天津蓝天格锐电子科技有限公司在 2014-2017 年间以庞氏骗局类投资理财产品非法集资约 430 亿元人民币，受害者达 13 万人。此案不仅是中国非法集资史上的标志性事件之一，也是英国司法史上最大规模的加密货币洗钱案件。

ChainCatcher 消息，Replit CEO 发文称，朝鲜 IT 远程工作者（ITW）通过 AI 工具获取美国远程岗位为朝鲜创收，他们已经赚了数亿美元。链上侦探 ZachXBT 对此回复称，朝鲜 IT 远程工作者至少涉及 25 起针对加密行业公司的黑客攻击或勒索资金事件。相关受害公司均为加密领域企业。

ChainCatcher 消息，据 BusinessInsider 报道，Coinbase 首席执行官 Brian Armstrong 表示，朝鲜 IT 工作者正瞄准 Coinbase，他正在强制进行面对面培训，以打击寻求远程工作的朝鲜黑客。 Coinbase 要求所有员工前往美国接受现场培训，任何可以访问敏感系统的人都必须拥有美国公民身份并接受指纹识别。 Brian Armstrong 表示，Coinbase 要求潜在员工在面试时打开摄像头，以证明他们不是人工智能或没有接受过指导。

ChainCatcher 消息，据一财报道，针对英伟达算力芯片被曝出存在严重安全问题，英伟达回应：「网络安全对我们至关重要。英伟达的芯片不存在「后门」，并不会让任何人有远程访问或控制这些芯片的途径。」

ChainCatcher 消息，以太坊创始人 Vitalik 将远程参与 ETH Beijing 黑客松并发表演讲，演讲主题为《以太坊共识层升级（Beam Chain）》，时间为 5 月 17 日下午 2 点（北京时间）。

ChainCatcher 消息，据 Cointelegraph 报道，科技巨头微软发现了一种新型远程访问木马（RAT），该木马专门针对 Google Chrome 浏览器中的 20 种加密货币钱包扩展程序，窃取其中的加密资产。 微软事件响应团队在 3 月 17 日的博客文章中透露，他们去年 11 月首次检测到这款名为 StilachiRAT 的恶意软件。该软件能够窃取存储在浏览器中的凭证、数字钱包信息以及剪贴板数据。部署后，攻击者可利用 StilachiRAT 扫描 20 种加密货币钱包扩展程序的配置信息，从而窃取加密钱包数据，这些钱包包括 Coinbase Wallet、Trust Wallet、MetaMask 和 OKX Wallet 等。 微软分析指出：“对包含 RAT 功能的 StilachiRAT 的 WWStartupCtrl64.dll 模块的研究表明，它采用了多种手段从目标系统中窃取信息。”除其他功能外，该恶意软件还能提取保存在 Google Chrome 本地状态文件中的凭证，并监控剪贴板活动以获取密码和加密密钥等敏感信息。它还具备检测规避和反取证功能，例如清除事件日志和检查是否在沙箱中运行，以阻止分析尝试。 目前，微软尚无法确定该恶意软件的幕后黑手，但希望通过公开分享信息减少潜在受害者数量。微软建议用户采取措施避免成为恶意软件的受害者，包括在设备上安装防病毒软件、基于云的反钓鱼和反恶意软件组件。

ChainCatcher 消息，据 Protos 报道，开发人员 “Calle” 警告闪电网络存在漏洞，使用低于 LND 0.18.5 或 LITD 0.14.1 版本的节点存在安全隐患。该漏洞允许黑客远程操控 Lightning invoices 的支付状态，从而窃取资金。 Satoshi Labs 联合创始人 Pavol Rusnak 也发出类似警告，提醒闪电网络用户尽快更新节点软件。LND 0.18.5 和 LITD 0.14.1 版本已修复该漏洞，但由于 LND 0.18.5 仅在上周发布，许多节点仍未更新，仍存在风险。

ChainCatcher 消息，币安创始人赵长鹏在 X 上分享关于教育项目 Giggle Academy 的部分最新情况。他表示：“我们现在有一个 10 人团队。有些是兼职，有些是全职。全部都是远程管理。我们每周一起通话 3 次，此外还有临时的小型聊天。招聘工作一直在进行。我每周要做十几次面试。我们最初的目标是建立一个 15 人的团队。 我们敲定了第一节语音（英语）课的内容，正在制作中。在制作过程中，我们做了一些调整。我们不会首先制作网络版。我们将首先制作安卓版本。有几个原因。在我们的目标市场中，安卓可能是每个家庭在购买笔记本电脑之前最先购买的设备。智能手机也有触摸屏，孩子们更容易与之互动。还有推送通知。”