在利沃夫逮捕Roblox账户盗贼，入侵中国任务调度器以进行挖矿，以及其他网络安全事件 - ForkLog：加密货币、人工智能、奇点、未来

# 拉夫洛夫斯克地区Roblox账户绑架者的逮捕，针对中国任务计划程序的黑客攻击以进行挖矿，以及其他网络安全事件

我们整理了本周网络安全领域的最重要新闻。

• 执法部门在欧洲、阿联酋和泰国对诈骗中心展开行动。
• 专家发现带有AI功能的钓鱼工具包。
• 来自德罗戈拜查的黑客出售近1000万格里夫纳的Roblox玩家账户信息。
• 恶意软件中的关键漏洞导致数据无法恢复的丢失。

执法部门在欧洲、阿联酋和泰国对诈骗中心展开行动

在一次联合行动中，美国、中国、阿联酋和泰国的执法机构打击了九个加密货币诈骗中心的活动，并逮捕了276名嫌疑人。美国司法部发布了相关报告。

在阿联酋和泰国被捕的嫌疑人使用“猪杀”方案。在受害者同意后，他们失去了对“投资”加密货币的访问权限。犯罪分子还说服受害者向亲属借钱或申请贷款。

缅甸公民Tet Min Nyi被控共谋诈骗和洗钱。调查认为，他曾是名为Ko Thet Company的犯罪组织的管理者和招募者。Sanduo Group和Giant Company的成员也将面临审判。

上周在欧洲，警方清除了一个诈骗网络，该网络被认为对全球受害者造成了超过5000万欧元的损失。

由欧洲刑警组织（Europol）和欧洲司法合作机构（Eurojust）于2023年6月启动的联合行动，逮捕了10名嫌疑人，并在奥地利和阿尔巴尼亚的三个呼叫中心和九个私人住所进行了搜查。

蒂拉纳的诈骗中心。来源：欧洲刑警组织。据调查，受害者通过搜索引擎和社交媒体上的广告被引诱到虚假的投资平台。实际上，资金被转入国际洗钱网络。在二次欺诈中，犯罪分子再次联系“客户”，提供帮助恢复丢失资产的服务。人们被要求再支付500欧元的加密货币作为入场费。

该诈骗网络注册为合法企业，拥有450名员工。操作员以六到八人一组工作，按语言划分，月薪约为800欧元，还能获得奖金。

专家发现带有AI功能的钓鱼工具包

网络安全专家Varonis发现了名为Bluekit的钓鱼工具包。它为攻击者提供了超过40个模仿流行服务的模板，还内置了AI助手，用于创建恶意活动的草稿。

该工具包提供针对电子邮件（Outlook、Hotmail、Gmail、Yahoo、ProtonMail）、iCloud、GitHub和Ledger加密钱包的脚本。

Bluekit的主要特色是AI助手面板，支持多种AI模型，包括Llama、GPT-4.1、Claude、Gemini和DeepSeek。该工具帮助网络犯罪分子撰写钓鱼邮件。

据Varonis称，该功能仍处于试验阶段。测试的攻击草稿结构合理，但包含通用链接字段、QR码占位符和需改进的文本。

来源：Varonis。除了AI，Bluekit还在一个面板中整合了整个攻击周期的管理：

• 域名注册。 直接在界面中购买和设置域名；
• 攻击活动管理。创建具有真实感设计和知名品牌（如Zara、Zoho和Ledger）标志的钓鱼页面；
• 细致调节。 通过VPN和代理阻断流量，屏蔽自动分析系统，并根据设备数字指纹设置过滤器；
• 数据拦截。 将窃取的信息通过Telegram传送到黑客的私有频道。

来源：Varonis。平台允许实时追踪受害者会话，包括Cookies、本地存储和登录后会话状态。这帮助黑客调整攻击策略以提高效率。

专家认为，尽管产品仍在积极开发中，但其发展速度快，可能会广泛传播。

来自德罗戈拜查的黑客出售近1000万格里夫纳的Roblox账户信息

利沃夫地区的执法部门逮捕了盗取价值1千万格里夫纳Roblox账户的诈骗犯，乌克兰总检察办公室报道。

据调查，三名德罗戈拜查居民以提升游戏体验为名，推广信息钓鱼工具。黑客通过恶意软件获取受害者的账户信息。

来源：乌克兰总检察办公室。获取的账户信息通过专用程序（检查器）验证，该程序显示账户内容。从2025年10月至2026年1月，利用此方法筛选出超过1000万账户，以寻找最有价值的账户。这些数据在俄罗斯网站上以加密货币出售。

执法部门在10次搜查中查获了设备、录音、超过2500欧元和约3.5万美元。嫌疑人被控盗窃和网络犯罪。

恶意软件中的关键漏洞导致数据无法恢复的丢失

Check Point的专家发现了VECT 2.0勒索软件中处理一次性密码（nonce）机制的严重缺陷。该漏洞导致数据被破坏，无法恢复。

问题出在VECT 2.0处理大于128KB文件时。为了加快处理速度，程序将文件分为四部分并分别加密。但编程逻辑中的错误导致灾难性后果：

1. 所有文件部分共用一个存储nonce的缓冲区。每次生成新密钥时，都会覆盖之前的内容。
2. 最终只剩下一部分被写入磁盘。
3. 只能恢复文件的最后25%。前三部分数据无法解密，因为相关的唯一数字已在处理过程中被永久丢失。

即使受害者支付赎金，攻击者也无法解密数据，因为已删除的nonce不会传送到黑客的服务器。

研究人员指出，128KB的阈值极低。几乎所有重要的企业信息都受到影响：

• 虚拟机镜像；
• 数据库和备份；
• Office文档、表格和电子邮箱。

这使得恶意程序从勒索软件变成了普通的数据销毁工具（Wiper），使得支付赎金变得毫无意义。该漏洞存在于所有VECT 2.0版本——Windows、Linux和ESXi。

广告中错误的加密算法名称。来源：Check Point。据专家称，VECT曾在黑客平台BreachForums上积极宣传。操作员邀请用户成为合作伙伴，并通过私信发送访问密钥。

后来，该团队宣布与TeamPCP合作——该团队曾发起针对Trivy、LiteLLM、Telnyx供应链以及欧盟机构的最新攻击。合作目标是利用受害者部署勒索软件。

黑客入侵青龙任务调度器以进行挖矿

攻击者利用青龙任务调度器中的两项身份验证绕过漏洞，在开发者服务器上秘密挖矿。网络安全公司Snyk报道。

青龙是一个用Python/JS编写的开源任务管理平台，在中国开发者中很受欢迎。

远程代码执行的感染链影响了青龙版本2.20.1及以上。

专家指出，漏洞的根源在于中间件的授权逻辑与Express.js Web框架的路由行为不一致。认证级别假设某些URL模板总是以一种方式处理，但Express.js使用了不同的方式。

据Snyk称，攻击活动于2026年2月7日启动。青龙用户首先发现了名为.FULLGC的隐藏恶意进程。为了隐藏，它的名字模仿了标准的资源密集型任务。

挖矿程序使用了85%到100%的CPU资源，目标系统包括Linux、ARM64和macOS。青龙开发者已在PR 2941中修复了漏洞。

此外，ForkLog还报道了：

• 四月成为加密行业被攻破次数最多的月份；
• 黑客从Wasabi协议中盗出超过500万美元；
• ZetaChain披露了价值8110亿美元的跨链攻击细节；
• 黑客攻击了DeFi协议Scallop；
• Litecoin因零日漏洞进行了区块链重组。

周末阅读推荐

为错过本月最重要内容的读者，ForkLog准备了简要回顾。