KrebsOnSecurity.com 于今日迎来十六周年纪念！衷心感谢所有读者——无论是新朋友、老读者，还是匆匆路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴郁的日子带来了慰藉。令人欣慰的是，"恶有恶报"成为了我们2025年报道的突出主题，重点关注那些助长复杂且全球分布的网络犯罪服务的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"服务商在俄罗斯入侵乌克兰前仅两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚收效甚微，未能阻止Stark的所有者改头换面，并将大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity报道了Cryptomus。这家在加拿大注册的金融公司，成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对该平台处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity发布了研究人员的发现，他们得出结论：一系列针对数十名受害者、涉案金额达六位数的网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起惊人1.5亿美元加密货币盗窃案的美国联邦特工表示，他们得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入窥探了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、令人信服且造成巨大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，向用户强制发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商无休止的短信钓鱼或"smishing"，他们让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后至少提起了两起针对这些团体和数十名未具名被告的无名氏诉讼。

一月份，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多家美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月份，巴基斯坦逮捕了21名涉嫌为Heartsender工作的人员。Heartsender是一个网络钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次报道过。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，是在2021年本网站的一篇报道中，该报道讲述了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月份，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的关联，这位寡头的俄罗斯大学正在为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机在俄罗斯最大的私立教育公司——协同大学——所在的同一网络托管的网站上做广告。

一如既往，KrebsOnSecurity努力密切关注全球最大、最具破坏性的僵尸网络。今年，这些僵尸网络以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月份，KrebsOnSecurity.com遭遇了当时谷歌所缓解过的最大规模DDoS攻击（我们很感激能成为谷歌优秀Project Shield服务的用户）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底首次出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare的另一次攻击，其规模几乎是对本网站六月攻击的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次翻倍，刷新了之前的记录。

十月份，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续、更有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

旧剧本，新规模：当防御者追逐潮流时，攻击者正在优化基本功

安全行业热衷于讨论“新”威胁。AI驱动的攻击、抗量子加密、零信任架构。但环顾四周，似乎2025年最有效的攻击方式与2015年几乎如出一辙。攻击者仍在利用那些曾经奏效的入口点——只是做得更好了。

供应链：仍在向下游蔓延

正如Shai Hulud NPM活动所揭示的，供应链仍然是一个主要问题。一个被破坏的软件包可以波及整个依赖树，影响数千个下游项目。攻击向量并未改变，改变的是攻击者识别和利用机会的效率。

AI已经降低了攻击门槛。正如AI使单人软件项目能够构建复杂应用一样，网络犯罪领域也是如此。过去需要大型有组织行动才能完成的事情，现在只需精干的团队甚至个人就能执行。我们怀疑其中一些NPM软件包攻击（包括Shai-Hulud）实际上可能是单人操作。

随着软件开发变得越来越简单，威胁行为体又展现出打持久战的能力（如XZ Utils攻击）——我们很可能会看到更多案例：攻击者发布合法的软件包以长期建立信任，然后在某一天，只需点击一个按钮，就能向所有下游用户注入恶意功能。

钓鱼攻击：仍仅需一次点击

官方商店：仍不安全

或许最令人沮丧的是：恶意软件仍在绕过官方审查。我们对窃取ChatGPT和DeepSeek对话的恶意Chrome扩展的研究揭示了一个我们从移动应用商店早已了解的事实——自动化审核和人工审核员跟不上攻击者的复杂程度。

权限问题听起来应该很熟悉，因为它本已得到解决。Android和iOS为用户提供了精细控制：你可以允许位置访问但屏蔽麦克风，仅允许应用在前台时使用摄像头而非后台。Chrome本可为扩展程序实施相同的模型——技术是现成的。这只是一个优先级和实施的问题。

然而，用户面对扩展程序请求“读取所有网站信息”的权限时，只能做出二元选择。如果一个扩展程序要求这种级别的访问权限，在大多数情况下，它将被用于恶意目的，或者会在后续更新中这样做。

攻击者没有“炫酷工具综合征”

攻击者并未在AI到来时抛弃他们的剧本——而是将其自动化。他们仍在利用供应链、钓鱼开发者、并让恶意软件绕过审查。他们只是用十分之一的资源就做到了。

我们不应在基础防护仍未奏效时追逐花哨的新防御策略。修复权限模型、强化供应链验证、使防钓鱼认证成为默认设置。基础工作现在比以往更重要，而非更不重要。

攻击者优化了基本功。防御者应优先关注什么？
加入OX参与我们即将举行的网络研讨会：

威胁情报更新：黑客的有效手段与防御方的应对措施

我们将探讨正在流行的攻击技术、实际有效的防御手段，以及在资源有限时应优先处理的事项。在此注册。

在此注册。

注：本文由OX安全研究团队负责人Moshe Siman Tov Bustan独家撰写并供稿。

觉得这篇文章有趣？
本文来自我们一位重要合作伙伴的供稿。
关注我们的Google News、Twitter和LinkedIn阅读更多独家内容。

美国检方指控一名伊利诺伊州男子策划网络钓鱼活动，通过入侵近600名女性的Snapchat账户窃取私密照片并在网上出售。

据指控，在2020年5月至2021年2月期间，26岁的被告凯尔·斯瓦拉采用多种社交工程手段获取受害者的电子邮件、电话号码和Snapchat用户名。

通过这些信息，斯瓦拉冒充Snap官方代表向超过4500个目标发送短信索取验证码，成功获取约570名受害者的账户凭证，从而侵入其Snapchat账户。

根据法庭文件显示，“他指示潜在共谋者通过其他更安全的渠道（如加密通讯应用Kik）与他联系”。

其客户之一史蒂夫·韦特曾是东北大学田径教练，他雇佣斯瓦拉入侵东北大学学生以及该校女子田径队或足球队成员的Snapchat账户。韦特因针对至少128名女性实施性勒索、网络跟踪和网络欺诈，已于2024年3月被判处五年监禁。

检方指出，除有偿黑客服务外，斯瓦拉还曾独立针对缅因州科尔比学院的学生和伊利诺伊州普兰菲尔德的女性进行攻击。

相关指控面临重刑：加重身份盗窃罪最低判处两年监禁，电信欺诈罪最高可判处20年监禁。计算机欺诈和共谋罪最高可判处五年监禁，虚假陈述罪最高可判处八年监禁。

联邦调查人员呼吁潜在受害者或掌握案件线索者通过此在线表格联系FBI。

KrebsOnSecurity.com 于今日迎来其十六周年纪念！衷心感谢所有读者——无论是新访客、长期关注者还是偶然路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴霾日子带来了慰藉。令人欣慰的是，2025年我们的报道贯穿了一个强烈的主题——"恶有恶报"，重点关注那些为复杂且全球分布的网络犯罪服务提供便利的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"服务商在俄罗斯入侵乌克兰前两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚几乎未能阻止Stark的所有者进行品牌重塑，并将其大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity剖析了Cryptomus。这家在加拿大注册的金融公司，成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对其处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity发布了研究人员的发现，他们得出结论：一系列针对数十名受害者、涉案金额达六位数的网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起高达1.5亿美元加密货币盗窃案的美国联邦探员表示，他们也得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入探究了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、极具说服力且造成重大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，向用户强制发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商无休止的短信钓鱼或"smishing"，他们让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后提起了至少两起针对这些团体和数十名未具名被告的John Doe诉讼。

今年一月，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多个美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月，巴基斯坦逮捕了21名据称为Heartsender工作的人员。Heartsender是一个网络钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次对其进行了剖析。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，是在2021年本网站的一篇报道中，该报道讲述了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的关联，这位寡头的俄罗斯大学正在为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机广告出现在一个网站上，该网站与俄罗斯最大的私立教育公司——协同大学——托管在同一网络中。

一如既往，KrebsOnSecurity努力密切关注全球规模最大、破坏性最强的僵尸网络。今年，这些僵尸网络以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月，KrebsOnSecurity.com遭遇了当时谷歌所缓解过的最大规模DDoS攻击（我们很感激能受惠于谷歌卓越的Project Shield服务）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare发起的另一次攻击，其规模几乎是对本网站六月攻击规模的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次翻倍，刷新了之前的记录。

十月，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续、更有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。

KrebsOnSecurity.com 于今日迎来其十六周年纪念！衷心感谢所有读者——无论是新访客、长期关注者还是偶然路过的批评者。过去一年里，各位的积极参与令人惊叹，也确实为一些阴霾日子带来了慰藉。令人欣慰的是，"恶有恶报"成为了我们2025年报道的突出主题，重点关注那些助长复杂且全球分布的网络犯罪服务的实体。

图片：Shutterstock, Younes Stiller Kraske。

2024年5月，我们深入审视了 Stark Industries Solutions Ltd. 的历史与所有权。这家"防弹托管"提供商在俄罗斯入侵乌克兰前仅两周上线，并成为克里姆林宫多次网络攻击和虚假信息行动的主要策源地。一年后，Stark及其两位共同所有者受到欧盟制裁，但我们的分析显示，这些惩罚措施几乎未能阻止Stark的所有者进行品牌重塑，并将其大量网络资产转移到他们控制的其他实体。

2024年12月，KrebsOnSecurity 报道了Cryptomus，这家在加拿大注册的金融公司成为数十家俄罗斯加密货币交易所以及向俄语客户兜售网络犯罪服务的网站的首选支付处理器。2025年10月，加拿大金融监管机构裁定Cryptomus严重违反了反洗钱法，并对该平台处以创纪录的1.76亿美元罚款。

2023年9月，KrebsOnSecurity 发布了研究人员的发现，他们得出结论：一系列针对数十名受害者的六位数网络盗窃案，源于窃贼破解了2022年从密码管理服务LastPass窃取的主密码。在2025年3月的一份法庭文件中，调查一起惊人1.5亿美元加密货币盗窃案的美国联邦探员表示，他们得出了相同的结论。

网络钓鱼是今年报道的一个主要主题，我们深入探究了几个语音钓鱼团伙的日常运作，这些团伙经常实施精心策划、极具说服力且造成重大经济损失的加密货币盗窃。《一个高产语音钓鱼团伙的日常》 审视了一个网络犯罪团伙如何滥用苹果和谷歌的合法服务，强制向用户发送各种外发通信，包括电子邮件、自动电话以及发送到所有已登录设备的系统级消息。

2025年，近六篇报道剖析了来自中国网络钓鱼工具包供应商的持续SMS钓鱼或"短信钓鱼"，这些供应商让客户能够轻松地将钓鱼获取的支付卡数据转换为苹果和谷歌的移动钱包。为了争夺对该钓鱼集团在线资源的控制权，谷歌此后提起了至少两起针对这些团体和数十名未具名被告的John Doe诉讼。

一月份，我们重点报道了对一个名为Funnull的可疑且庞大的内容分发网络的研究，该网络专门帮助中国的赌博和洗钱网站将其业务分布到多家美国云服务提供商。五个月后，美国政府制裁了Funnull，认定其为被称为"杀猪盘"的投资/恋爱诈骗的主要源头。

图片：Shutterstock, ArtHead。

五月份，巴基斯坦逮捕了21名涉嫌为Heartsender工作的人员。Heartsender是一个钓鱼和恶意软件传播服务，KrebsOnSecurity早在2015年就首次报道过。此次逮捕发生在联邦调查局和荷兰警方查获该组织数十台服务器和域名后不久。许多被捕者首次被公开身份，源于2021年本网站的一篇报道，该报道揭示了他们如何无意中感染了恶意软件，从而泄露了他们的真实身份。

四月份，美国司法部起诉了一家巴基斯坦电子商务公司的所有者，指控其合谋在美国分销合成阿片类药物。次月，KrebsOnSecurity详细说明了这家受制裁实体的所有者或许更广为人知的是，他们运营着一个精心策划且历时漫长的骗局，诈骗那些在商标注册、图书写作、移动应用开发和标志设计方面寻求帮助的西方人。

本月早些时候，我们调查了一个由谷歌广告助推的学术作弊帝国，该帝国获得了数千万美元的收入，并且与一位和克里姆林宫有联系的寡头有着耐人寻味的联系，该寡头旗下的俄罗斯大学为俄罗斯对乌克兰的战争制造无人机。

一架攻击无人机在一个网站上的广告，该网站与俄罗斯最大的私立教育公司——协同大学托管在同一网络中。

一如既往，KrebsOnSecurity努力密切关注全球规模最大、破坏性最强的僵尸网络，这些网络今年以分布式拒绝服务攻击重创互联网，其规模和影响是先前记录的最大DDoS攻击的两到三倍。

六月份，KrebsOnSecurity.com 遭受了当时谷歌所缓解过的最大规模DDoS攻击（我们很荣幸受到谷歌卓越的Project Shield服务的保护）。专家将此次攻击归咎于一个名为Aisuru的物联网僵尸网络，该网络自2024年底出现以来，规模和火力迅速增长。几天后，Aisuru对Cloudflare发起的另一次攻击，其规模几乎是对本网站六月攻击的两倍。此后不久，Aisuru又被指责发动了一次DDoS攻击，其规模再次刷新了之前的记录。

十月份，控制Aisuru的网络犯罪分子似乎已将僵尸网络的重点从DDoS攻击转向了更可持续且有利可图的用途：将数十万台受感染的物联网设备出租给代理服务，以帮助网络犯罪分子匿名化其流量。