瑞士加密邮箱服务 ProtonMail 再次引发了争议，它自称是用户个人数据的中立的安全避风港，致力于捍卫用户的自由，但在没有给出任何解释的情况下关闭了两位记者的账户，直到引发长达数周的争论和抗议之后它才恢复账户。它没有给出关闭账户的详细解释。在账户被关闭时两名记者正以 Saber 和 cyb0rg 笔名为黑客杂志《Phrack》的 8 月份撰写一篇朝鲜政府支持的黑客组织入侵韩国多个政府机构计算机网络的文章。文章称入侵活动是朝鲜 APT 组织 Kimsuky 发动的，包括韩国外交部和国防反间谍司令部在内的政府机构网络都被渗透。但上个月 ProtonMail 在收到未指明的网络安全机构的投诉后关闭了记者的账户，影响了记者与受影响机构的沟通。

这可能是历史上影响规模最大的一次供应链攻击：在一位维护者遭到钓鱼攻击导致其账户被攻击者窃取之后，其维护的 20 个 NPM 包被迅速植入了恶意代码，恶意代码旨在窃取加密货币。这些 NPM 包的周下载量超过 20 亿次。维护者 Josh Junon 收到了一封邮件，要求他登录网站更新 2FA 凭证，否则其账户将会被关闭。邮件使用的域名 support.npmjs.help 是在 3 天前创建的，模仿了 npm 官方域名 npmjs.com。在攻击者获得了他的 2FA 凭证之后，立即了更新了其维护的几十个 NPM 包，植入了窃取加密货币的代码，监控涉及以太坊、比特币、Solana、Tron 等加密货币的转账，一旦检测到此类交易，它会将目标钱包地址替换为攻击者控制的钱包地址。受影响的 NPM 包包括了 backslash@0.2.1、chalk@5.6.1、chalk-template@1.1.1、color-convert@3.1.1 、color-name@2.0.1 等等。

Fina Root CA 于今年五月为 Cloudflare 的公共 DNS 服务 1.1.1.1 签发了三张证书，这一错误签发证书的安全事件直到本周三才曝光。Fina Root CA 受到了微软 Microsoft Root Certificate Program 的信任，但 Google、Mozilla 以及苹果 Safari 都未信任该 CA。安全专家称，攻击者能利用该证书发动中间人攻击，拦截最户与 Cloudflare DNS 服务之间的通信，攻击者可使用证书解密、查看和篡改来自 Cloudflare DNS 服务的流量。目前三张证书中的两张仍然有效，Cloudflare 声明它未授权 Fina 签发这些证书，它已展开调查，联络了微软、Fina 以及 Fina 的 TSP 监管机构，目前尚未收到 Fina 的回应。

在 XZ 后门事件中，化名为 JiaT75(Jia Tan)的攻击者通过在两年多时间里向项目积极贡献代码而获得信任，然后再通过施压而最终成为项目的共同维护者，得到了能悄悄在代码中植入后门的权限。在以大模型为代表的生成式 AI 时代，贡献代码可能比以往任何时候更轻松，这意味着攻击者可以使用大模型向开源项目积极贡献代码，而项目的维护者将难以判断代码背后的人的意图。开源项目的维护者缺乏资源、技能或时间去抵御此类的攻击，因此未来的开源项目可能更容易受到类似 XZ 后门事件的攻击。

一个被包括五角大楼在内的机构使用的流行 Node.js 库由一名居住在莫斯科的 Yandex 员工 Denis Malinochkin 维护。美国安全公司对此发出了警告。然而对于开源项目而言，这不是什么新鲜事，绝大多数开源项目、不管是否流行，它们通常是由一个人维护的。以 NPM（Node Package Manager）生态系统为例，在下载量超过 100 万的项目中，维护者只有一个人或多个人的比例基本上是 50/50；在下载量超过 10 亿次的项目中，有 1 个项目是一个人维护，9 个项目由多个人维护。这就是开源社区的现状，开源项目通常是一个人维护的，即使是热门的项目也是如此。而且很多时候一个人会维护多个项目。一位俄罗斯人维护了一个流行库并不意味着什么，如果他们想要发动供应链攻击植入后门，俄罗斯人不会自称是俄罗斯人，他们会化名为 Jia Tan（XZ 后门作者化名）。

新西兰空管系统上周末因软件故障罢工一小时，干扰了机场的正常运作，有五架飞机在空中盘旋，四架飞机无法起飞。新西兰唯一的空管服务商 Airways 表示问题是因为软件故障导致飞行数据无法在系统之间传输。Airways CEO James Young 表示，在发现问题之后，空中交通管制员立即采取了措施，飞机要么在地面等待，要么在空中等待。Airways 的空管系统有备份系统，但 Young 表示无法即时切换到备份系统，验证飞行信息数据需要时间。故障持续了大约一个小时，期间在空中盘旋的飞机有两架继续飞行，三架重返了起飞地。

Arch Linux 项目披露其基础设施遭遇了 DDoS 攻击，提供了一旦网站发生宕机的一些权益方法，如使用镜像。Arch Linux 称，持续的 DDoS 攻击主要影响主网页、Arch User Repository (AUR)和论坛，它正在与托管服务提供商合作缓解攻击，同时在评估 DDoS 防护方案。

Pistachio CTO Zack Korman 披露微软 Windows AI 助手 M365 Copilot 的一个 bug，它对文件的访问会不记录在审计日志内，这意味着如果有人能操纵 Copilot 他们能匿名其访问痕迹，对企业而言这是一个严重的安全隐患。微软和其它科技公司一样，正全力押注 AI，将 AI 整合到旗下的各种产品中，Windows 11 就整合了 Copilot 助手。Zack Korman 发现如果要求 Copilot 访问一个文件，摘录其内容，在回复中不要链接文档地址，那么在日志里就不会留下访问记录。他在 7 月初向微软报告了该 bug，微软在 8 月中旬修复了 bug，但没有赋予 CVE 编号，也没有披露该 bug。

去年初震惊整个开源和网络安全社区的 XZ 后门事件并没有离我们而去。在 XZ 事件中，攻击者 Jia Tan（化名，未必是华人）潜伏 XZ Utils 项目长达两年多时间，最终获得信任成为项目的共同维护者，之后他或他们利用其权限悄悄在 xz-utils 包中植入了一个复杂的后门。在恶意版本大规模传播前，后门就被发现了，因此没有造成大问题。但 Binarly REsearch 的调查发现，在攻击期间构建的部分 Docker 镜像仍然包含有 XZ Utils 后门。安全研究人员从 DockerHub 上发现了超过 35 个含有后门的镜像。虽然数字不多，但研究人员只扫描了一小部分镜像，而且只针对 Debian 发行版，其它发行版如 Fedora 和 OpenSUSE 情况未知。

微软本月释出的例行安全更新据报道可能会导致硬盘故障。存在问题的更新是提供给 Windows 11 和 10 ISO 镜像的 Defender 安全更新，该更新旨在遏制 Lamma，适用于 Windows 10（KB5063709 / KB5063877 / KB5063871 / KB5063889）和 Windows 11（KB5063878、KB5063875）。其中 Windows 11 24H2 KB5063878 安装时会返回 0x80240069 错误代码。除此之外，据日本用户报告它导致了存储故障，掉盘，操作系统无法读取相应的 SMART 信息。重启后相关硬盘会暂时重现，但很快又发生相同故障。

挪威反情报机构负责人 Beate Gangaas 周三表示，俄罗斯黑客今年四月七日短暂控制了一座位于 Bremanger 的水坝，打开了泄洪闸，四个小时后攻击被发现而停止。挪威大部分电力来自水电，情报部门此前曾警告其能源基础设施可能遭受攻击。Gangaas 说，此类攻击的目的是影响民众，在民众中制造恐惧和混乱，我们的俄罗斯邻居变得更危险了。俄罗斯驻奥斯陆大使馆表示，她的声明毫无根据并带有政治动机。

两个俄罗斯网络犯罪组织过去两周正通过含有恶意附件的钓鱼邮件利用一个高危 WinRAR 0day。WinRAR 是广泛使用的文件压缩工具，用户数多达 5 亿，安全公司 ESET 于 7 月 18 日首次检测到针对 WinRAR 的攻击，7 月 24 日确定利用了一个 WinRAR 0day，同一天通知 WinRAR 开发商，6 天后漏洞修复。该漏洞滥用了名为交换数据流（Alternate Data Streams，ADS）的 Windows 功能，该功能允许同一文件路径可以有不同的表示方式。漏洞利用滥用该功能触发了一个此前未知的路径遍历漏洞，导致 WinRAR 将恶意可执行文件植入攻击者选择的文件路径 %TEMP% 和 %LOCALAPPDATA%，因为能执行代码 Windows 通常禁止访问这些路径。利用该漏洞的俄罗斯黑客组织包括 RomCom 和 Paper Werewolf。

天文学家在距离地球 50 亿光年外的狮子座双星系引力透镜系统 Cosmic Horseshoe 中发现了至今最重的黑洞。其质量是银河系超大质量黑洞的 1 万多倍，太阳质量的 360 亿倍。Cosmic Horseshoe 是已知最大的星系透镜，其核心被认为有一个超大质量黑洞，但科学家对其质量难以给出具体数字。英国朴茨茅斯大学的研究人员测量了恒星围绕黑洞旋转的速度，以及黑洞引力对光线的弯曲程度，结果发现它可能是宇宙质量最大的黑洞。

Windows 10 即将于 2025 年 10 月 14 日终止支持，之后微软不再提供安全更新。然而 Windows 10 仍然有相当高的市场占有率，因此届时可能会有数以亿计的用户将无法获得安全更新。对于短时间内不会更新到 Windows 11 的用户，微软将向他们提供一次性的为期一年的扩展安全更新，费用为 30 美元，截至 2026 年 10 月 13 日。根据微软的支持文档，30 美元的扩展安全更新许可证支持一个微软帐户最多 10 台设备。

Mozilla 警告针对 Firefox 扩展开发者的钓鱼攻击，督促开发者对冒充 Mozilla 或 AMO (addons.mozilla.org) 发件人的邮件提高警惕。攻击者可能是利用钓鱼邮件劫持开发者的账号，然后向 Firefox 用户推送包含恶意代码的扩展更新，发动供应链攻击。安全研究人员称，目前针对 Firefox 的恶意插件旨在窃取加密货币钱包的凭证。

AI 也许是软件开发的未来，但人类尚未做好把手从方向盘上移开的准备。Veracode 发布了 AI 生成代码的安全性报告《2025 GenAI Code Security Report》，逾百个大模型完成了 80 项编程任务，但 AI 生成的代码有约 45% 存在安全漏洞。这些安全漏洞很多都属于 OWASP（Open Worldwide Application Security Project）Top 10 漏洞。报告发现，当 AI 给予选项写安全或不安全代码时，几乎一半的时间它选择了错误的路径。

作为 Online Safety Act 法律的一部分，英国用户访问成人内容需要验证年龄，这一要求导致英国的 VPN 搜索量和注册量激增。ProtonVPN 称，年龄验证要求生效后英国注册量增长了 1400% 以上。这种激增不是短时间内的现象。VPN 服务也排在英国苹果应用排行榜前列。不遵守验证年龄可能导致企业面临最高 1800 万英镑或全球年收入 10% 的罚款。

安全公司 Socket 上周报告了三起针对开源软件的供应链攻击。攻击者主要通过窃取开发者账号，然后上传含有恶意代码的软件包，将恶意软件推送给毫无戒心的用户。Toptal 的 GitHub Organization 账号被入侵，攻击者利用该账号在 npm 上发布恶意软件包，Toptal 共有 10 个 npm 软件包含了恶意代码，在被发现前被 5000 名用户下载。Socket 还报告了一起针对 npm 用户和 PyPI 用户的供应链攻击，恶意程序的总下载量逾 56,000 次，恶意软件的功能包括了键盘记录、屏幕截图、指纹识别、webcam 访问和凭据窃取等。Socket 报告的第三起攻击是利用钓鱼邮件窃取开发者账号在 npm 上发布了三个包含恶意代码的软件包。因为软件包的依赖关系，供应链攻击通常会造成更大规模的破坏。

域名系统（DNS）的原始设计不包含任何安全细节，域名系统安全扩展（DNSSEC）尝试在其中添加安全性，同时仍保持向后兼容性。DNSSEC 能阻止 DNS 缓存污染等攻击，它的 RFC 是在 28 年前发布的，根据 Internet Society 的数据，DNSSEC 普及率仅为 34%，相比下 HTTPS 的开发时间线与 DNSSEC 基本相同——在 Top 1000 网站中，HTTPS 的普及率为 96%，HTTP/3 仅发布四年时间普及率就达到了 25%。大约三成的国家域名尚未实现 DNSSEC。

英国政府计划禁止公共部门和关键基础设施运营商在遭受勒索软件攻击后支付赎金。地方议会、学校以及 NHS（英国国家医疗服务系统）都需要遵守拟议中的新规定。勒索软件组织在利用漏洞或其它手段入侵一组织的计算机系统之后，通常会实施双重勒索，窃取数据然后加密数据，以恢复数据和不泄漏数据勒索受害者。如果受害者没有备份，那么除了支付赎金他们可能别无选择。要遏制勒索软件组织，拒绝支付赎金以及做好备份等安全措施至关重要。而支付赎金只会强化网络罪犯的犯罪动机。英国政府表示，禁令就是为了确保公众所依赖的关键服务不再成为勒索软件黑帮的攻击目标。