安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则159条，本期升级改进检测规则132条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2025101707，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

3. 网络流量威胁趋势

近日，研究人员发现多款npm、PyPI和RubyGems恶意软件包利用Discord webhook作为C2渠道，将开发者敏感数据发送至攻击者控制的频道。例如，mysql-dumpdiscord窃取配置文件，sqlcommenter_rails收集系统信息发送至固定webhook。此类攻击可在安装或构建阶段悄然获取.env、API密钥及主机信息，绕过运行时监控。同时，北朝鲜相关组织通过“Contagious Interview”运动上传数百个恶意或拼写相似包，目标锁定Web3、加密货币及技术求职者，诱导其运行带后门的项目，进一步下载BeaverTail、InvisibleFerret等多平台恶意负载，实现凭证、钱包及键盘记录等信息窃取。

此外，安全通报指出，一波冒充LastPass与Bitwarden的钓鱼邮件谎称发生泄露，诱导用户下载“更安全”的桌面客户端。实际上，所下载二进制会安装Syncro MSP代理并进一步部署ScreenConnect远程访问工具——隐藏托盘、定期回连、并尝试禁用安全软件。攻击者可借此远程控制受害主机、部署恶意载荷并窃取密码管理器凭证。LastPass已声明未遭入侵，Cloudflare已屏蔽相关落地页；安全研究建议用户仅通过官方网站获取更新，切勿运行来路不明的安装包。

本期活跃的安全漏洞信息

1WordPress Community Events plugin SQL注入漏洞（CVE-2025-10587）

2IBM Security Verify Governance Identity Manager信息泄露漏洞（CVE-2025-36003）

3Dell PowerProtect Data Domain操作系统命令注入漏洞（CVE-2025-30096）

4NISOC Chipsets越界写入漏洞（CVE-2025-31716）

5DNN 跨站脚本（XSS）漏洞（CVE-2025-59545）

值得关注的安全事件

1FBI查封BreachForums网站以打击Salesforce勒索行动

美国联邦调查局（FBI）在法国执法机构协助下，查封了被黑客组织ShinyHunters用于Salesforce数据勒索的BreachForums域名。该网站此前被多个网络犯罪团伙用于发布被窃数据及勒索信息，包括与ShinyHunters、Lapsus$和Scattered Spider相关的成员。此次行动不仅关闭了公开站点，还使执法部门获取了自2023年以来的论坛数据库及后端服务器。尽管暗网版本仍在运行，黑客声称将继续泄露未支付赎金的企业数据。受影响企业包括FedEx、Google、Marriott、Cisco、Adidas、IKEA等，泄露信息或超过十亿条。ShinyHunters随后表示BreachForums时代已终结，并警告未来类似网站恐成执法“蜜罐”。

2IE模式被滥用引发安全隐患

微软宣布对Edge浏览器的IE模式进行了严格限制，此前有报告称不明攻击者利用该向后兼容功能，通过社会工程和IE JavaScript引擎（Chakra）0-day漏洞获得远程执行权限，并提升特权完全控制受害设备。攻击者先诱导用户在IE模式下重新加载网页，再利用Chakra漏洞实施攻击，可能进行恶意软件部署、横向移动及数据外泄。为降低风险，微软移除了IE模式的工具栏按钮、右键菜单及主菜单项，现在用户需在Edge设置中手动启用特定站点的IE模式。微软表示，此举旨在平衡安全性与旧版兼容需求，同时增加攻击者利用门槛。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。