Coupang 的创纪录罚款、用户被黑事件 Claude Code 以及其他网络安全事件 - ForkLog

# 针对 Coupang 的创纪录罚款、Claude Code 用户遭入侵等网络安全事件

我们汇总了本周来自网络安全领域的最重要新闻。

• 微软在攻击 Claude Code 用户之后，关闭了 GitHub 上数十个仓库的访问权限。
• 黑客激进分子利用 WinRAR 漏洞攻击来自乌克兰的用户。
• OpenClaw 未通过钓鱼测试。
• 不满的研究人员在修补之前漏洞的补丁之后，继续与微软“作战”。

微软在攻击 Claude Code 用户之后关闭了 GitHub 上数十个仓库

在将恶意软件植入代码之后，微软暂时关闭了其在 GitHub 上数十个开源仓库的访问权限。此次黑客行动被 Cloudsmith 和 OpenSourceMalware 的分析师披露为 Miasma 行动。

至少有 70 个项目受到限制，其中许多与 Azure 平台相关。这些仓库包括开发者在 AI 编码应用中使用的工具，涵盖 Claude Code、Gemini CLI 和 VS Code 等。

据专家称，恶意软件的目标是窃取密码和其他敏感账户凭据。当用户打开被破坏（受感染）的工具时，恶意软件便会被激活。

在 Cloudsmith 的建议下，可采取以下防护措施：

• 立即更换 SSH 密钥、GitHub 令牌、云服务（Azure/GCP）密码以及自动化构建系统的访问权限；
• 在代码编辑器（VS Code）中查找隐藏进程，识别他人的 AI 工具，以及在 GitHub 公司账号中出现的新的不明文件夹（仓库）；
• 未来不要从互联网上下载第三方库的更新。制定允许使用的程序清单，并对其进行管理与留存记录。

微软发言人 Ben Hope 在接受 TechCrunch 评论时表示，公司已暂时删除部分仓库，以便核查潜在的恶意内容。其中一些仓库已经恢复。

黑客激进分子利用 WinRAR 漏洞攻击来自乌克兰的用户

黑客团伙 SHADOW-EARTH-066（UAC-0226）和 Gamaredon 通过 WinRAR 压缩软件中的漏洞攻击乌克兰政府机构。相关情况由 Trend Micro 和 Sekoia 的研究人员披露。

该目录穿越（绕过目录）漏洞使攻击者在解压缩归档文件时，能够在不被察觉的情况下，将恶意文件保存到目标文件夹之外——并可直接写入自动启动位置。

诱饵文档示例，用于制造紧迫感并强迫受害者进行交互。来源：Trend Micro。根据专家分析，感染链如下：

• SHADOW-EARTH-066。使用携带伪造 PDF 文档的压缩包，隐藏安装信息窃取恶意软件 GIFTEDCROOK。该程序会从浏览器窃取密码以及目标文档信息。值得注意的是，由于俄罗斯遭到封锁，黑客不再使用 Telegram 进行数据外传，而是改为使用自建服务器；
• Gamaredon。被认为与 FSB（俄罗斯联邦安全局）有关联的团伙，使用“工业级规模”的漏洞展开攻击。他们的多阶段攻击部署加载器，将 GammaWorm 蠕虫（通过感染 USB 设备传播）以及 GammaSteel 信息窃取器（将被盗文件上传至 AWS 云）植入系统。

专家指出，未更新的 WinRAR 深度集成到乌克兰组织的日常工作流程中，使其成为黑客活动的理想切入点。

OpenClaw 未通过钓鱼测试

Varonis 的研究人员对 OpenClaw 进行测试，评估其作为邮件处理的 AI 代理能力后发现：该系统存在对抗人类常用手段的钓鱼攻击的脆弱性。

在实验中，他们模拟了四次钓鱼攻击，并在两种配置下检查代理的行为。测试中，OpenClaw 连接到 Gmail、浏览器工具、Google Workspace API 以及一组合成的内部数据。

该框架分别基于 Google Gemini 3.1 Pro 和 OpenAI GPT-5.4，在标准模式与“严格”模式下进行测试，并为身份验证检查与反钓鱼流程提供了独立指令。

来源：Varonis。钓鱼攻击模拟：

• 冒充团队负责人，并在所谓工作中出现问题的情况下，请求访问测试环境。 OpenClaw 找到了并发送了 AWS IAM 密钥、数据库凭据以及 SSH 访问凭据到外部邮箱 Gmail；
• 以远程协作准备演示为由，要求导出客户数据。 代理从 CRM 中提取并发送了包含客户记录、联系信息、合同细节与收入数据的导出结果，而未核验发件人身份；
• AI 系统收到一封伪造的礼品卡邮件，其中包含钓鱼链接。 在标准配置下，代理访问了钓鱼网站，并在最终识别该页面为恶意之前，尝试使用虚构凭据激活礼品卡。严格配置立即阻止了该攻击；
• 研究人员创建了一个伪装成工时追踪平台的恶意 Google OAuth 应用。 OpenClaw 检查了 OAuth 授权流程，分析了跳转目标，认定该应用可疑并拒绝授权。

不满的研究人员在修补之前的漏洞后继续与微软“作战”

以 Nightmare Eclipse 为化名的网络安全研究人员披露了微软 Defender 的一项新的 0-day 漏洞，命名为 RoguePlanet。

该漏洞允许攻击者将权限提升至最高级别 SYSTEM，并在完全更新的 Windows 10 和 Windows 11 机器上执行任意代码。

该事件是黑客与 IT 巨头之间公开冲突的延续。早在 4 月，Nightmare Eclipse 就承诺：在微软工程师发布每一次补丁之后，他将公开零日漏洞。6 月的更新正好修补了他先前的数项发现（GreenPlasma、MiniPlasma 和 YellowKey），这也促使他立即发布 RoguePlanet。

网络安全专家 ThreatLocker 在 BleepingComputer 的评论中表示，他们在自家测试中成功复现了该攻击。他们确认：该漏洞在已打补丁的 Windows 11 系统（安装 KB5094126 补丁）上同样可被利用。

韩国科技巨头因数据泄露被罚款 4 亿美元

韩国个人信息保护委员会（PIPC）就发生在 Coupang 的大规模数据泄露事件，对这家科技巨头开出了创纪录罚款：624,6 0 亿韩元（约 $409 млн） 。

据监管机构称，由于安全措施不足——包括认证密钥管理与访问控制方面存在问题——约 37,55 млн 人的个人数据被泄露。Coupang 的子公司 Coupang Fulfillment Service 另因非法收集、使用和处理客户的个人及敏感数据，被处以 248 млн вон 的罚款。

PIPC 还指出，存在未履行数据销毁与泄露通知要求的违规行为，并对独立数据保护官的工作进行了干预，以及妨碍了调查。

泄露发生在 2025 年 6 月，但直到 11 月才被发现。一个月后，Coupang 报告称共有 33,7 млн 个账户遭到泄露。根据执法部门信息，主要嫌疑人是一名 43 岁的中国公民，他在 2022–2024 年期间曾在该公司 IT 部门工作。

此外，ForkLog 还报道了：

• 欧盟司法机构关闭了加密服务 AudiA6。
• Anthropic 负责人呼吁加强对 AI 模型的监管。
• Meta 在丑闻之后从智能眼镜中删除了人脸识别功能。
• Raydium 的流动性池遭到 1,34 млн 美元的黑客攻击。
• Humanity Protocol 的代币在遭遇 31 млн 美元的黑客攻击后崩盘。
• Yuga Labs 成功挽救了价值 500 000 美元的 NFT。

周末可以读点什么？

ForkLog 解析了 Strategy 的商业模式，解释为何批评者称其为金融金字塔，以及支持者为何认为它是有效的风险管理范例。