国家安全部点名“虚拟定位软件”,看似神器,实则可能变成窃密工具

OpenAI已开源一款名为Privacy Filter的隐私过滤模型，重点瞄准个人敏感信息识别与脱敏。公开测试显示，该模型在PII-Masking-300k基准上token级F1达到96%，在法律与医疗等场景中，仅用10%的训练数据微调，F1也可从54%提升至96%；中文场景下F1达到91.7%。真正值得关注的，不只是“又一个开源模型”，而是隐私保护能力正在从高门槛、定制化，变成更容易被企业直接接入的基础能力。未来无论是客服质检、医疗文书、法律材料，还是企业内部知识库，脱敏都不会只是合规部门的事，而会更像一层默认要加上的安全基础设施。

一款正式通过微软商店审核上架的可疑程序“Vibing.exe”引发隐私争议。公开描述显示，该程序被研究人员怀疑会收集屏幕内容、音频及剪贴板数据，由于它是正常通过官方商店渠道获取，天然更容易获得用户信任，这类事件再次说明“来自正规渠道”并不等于绝对安全。

国家安全部4月27日发文提醒，虚拟定位软件不只是“改位置打卡”这么简单，而可能被境外间谍组织利用，发展成一种非接触式窃密手段。文中提到，这类工具能够伪造用户所处位置，攻击者可能借此贴靠涉密单位人员，在求职平台或社交平台上实施渗透诱骗，甚至围绕重点设施、关键部位伪造活动轨迹，服务于后续情报搜集。它的警示意义很强，因为很多人对“定位修改”类工具的理解还停留在娱乐和便利层面，却忽略了地理位置信息本身就可能是敏感情报。网络安全里最容易出问题的，往往不是看起来危险的软件，而是那些被当作小工具、却能悄悄改写真实世界信息的应用。

Vidar这一活跃的信息窃取木马家族在2026年出现新变化：研究人员发现，其最新版本会把第二阶段载荷隐藏在JPEG和TXT文件中，以规避传统安全检测。换句话说，攻击者不再满足于直接丢一个可疑EXE，而是把真正危险的东西塞进最像普通文件的外壳里，对很多用户来说，图片和文本文件天然更容易放松警惕，安全设备在面对这类“看起来不像样本”的内容时，也更容易出现漏检。Vidar本身就以窃取浏览器凭证、会话和本地敏感数据见长，现在再配上更隐蔽的分阶段投递方式，等于进一步拉高了发现难度，真正值得担心的，不是木马名字换没换，而是它越来越懂得伪装成日常工作流里最普通的那部分。

研究人员发现，攻击者可以通过串联多个漏洞，向CODESYS应用中植入后门。CODESYS是工业控制领域使用极广的运行时和开发环境之一，因此这类问题的危险性不只是“某个软件有漏洞”，而是工程配置、控制逻辑和部署文件本身都可能被重新武器化。对工业场景来说，最麻烦的不是单纯服务器被打穿，而是攻击者一旦能把后门藏进正常项目或控制应用里，后续排查会比传统木马难得多。因为在工程师眼里，它可能看起来只是一个照常运行的控制程序。工控安全这几年一直在从“网络层防护”向“工程对象可信”转移，而这类漏洞链恰恰说明：真正需要保的，不只是网络边界，还有会被下载、修改和部署的那些应用本体。

ClickFix攻击链出现了更“实战化”的新版本，攻击者不再像过去那样主要依赖PowerShell，而是改用cmdkey和远程regsvr32等系统工具完成后续投递。这不是某个单独漏洞，而是一套社工诱导加系统原生命令的组合拳，用户看到的往往只是一个“修复提示”“验证失败”“需要手动操作”的普通界面，背后却是攻击者引导其亲手执行危险动作。安全团队过去对ClickFix的警惕多集中在PowerShell，但这次变化说明，攻击者已经开始主动绕开被广泛关注的旧特征，转而利用更不显眼的系统工具链。对企业来说，真正需要提升的，不只是某条命令的检测能力，而是对整类“引导用户自己完成攻击”的社工打法的整体免疫力。

朝鲜关联黑客组织Kimsuky正在定向攻击处方药公司，主要载体是经过武器化处理的Excel文件。这个案例值得重视，因为它并不依赖多么新奇的传播手段，反而把最传统、也最常见的办公文件重新做成高效率攻击入口。制药企业本身就掌握研发数据、配方信息、供应链资料和商务机密，一旦被定向入侵，损失远不止某个终端中毒。更现实的一点是，很多行业用户对Office文档依赖极深，Excel文件的可疑程度远低于可执行程序，因此在真实办公场景里命中率往往并不低。高水平攻击真正难防的地方，很多时候不是漏洞多复杂，而是它看起来太像一次正常业务往来。

一起新发现的恶意软件活动正在针对巴基斯坦政府雇员展开，攻击方式以精心设计的鱼叉邮件为起点，再结合多层混淆与分阶段载荷投递，逐步完成感染。攻击明显在回归一种更稳、更安静的打法：先用足够像真的email建立信任，再把恶意逻辑拆成多个阶段逐步下发，以降低一次性暴露的概率。对防守方来说，这类攻击往往比“来一个大样本”的传统木马更难处理，因为每一步单看都不像完整威胁，只有连起来才看得出全貌。分阶段投递这几年并没有过时，反而随着检测增强而重新变得流行，因为它能最大限度减少攻击者在早期阶段暴露自己的机会。

macOS自带的textutil以及密码管理工具KeePassXC，在自动化场景下都可能被攻击者反向利用，变成更大攻击链中的“原语”。这类新闻的价值不在于证明它们本身是恶意软件，而在于再次提醒大家：现代攻击早已不总靠陌生木马，而是越来越多依赖合法工具的组合使用。只要某个工具能解析文件、处理格式、导出内容或与其他程序协作，它就可能在特定场景下被嵌进恶意流程中。对于企业和高级用户来说，这意味着传统“白名单思维”越来越不够——一个程序是合法的，并不自动代表它在当前链路里就是安全的。未来防守的重点会越来越偏向行为与上下文，而不是单看这个软件“正不正规”。

GlassWorm供应链攻击出现新集群，73个Open VSX“沉睡扩展”被用于激活新一轮恶意软件活动。所谓“沉睡扩展”，就是它们并不一开始就表现得特别恶意，而是在长时间潜伏、积累信任后，再通过更新或隐藏逻辑释放真正载荷，这比一次性假插件更难防，因为很多开发者会基于历史信誉默认相信已有扩展。Open VSX本身又是开发者工具生态的一部分，使用者天然对其警惕性较低，对技术团队来说，这类事件非常值得写进日常风险清单：今天最危险的供应链问题，不一定来自完全陌生的包和插件，而可能来自你装了很久、一直觉得“挺正常”的那个东西。攻击者越来越懂得利用时间来换信任，而“信任一旦建立”恰恰是最难撤回的。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除