IT之家 6 月 7 日消息,鸿蒙智行问界汽车官方昨日发布问界 M9 答网友问,再次谈及了浙江台州发生的事故。 经现场确认,事故为车辆行驶过程中,撞击前车掉落的大块金属部件,造成强物理冲击并持续拖行一段时间后导致起火,目前火已扑灭,未造成人员伤亡。事发前车辆三电系统状态正常,未见车辆其它自身异常,事故非车辆自身原因导致。 问界汽车官方顺势介绍了华为巨鲸电池安全设计。据称,问界 M9 标配华为巨鲸电池平台,采用材料本征安全 + 电芯正置架构设计, 电芯间隙填充航空级气凝胶,并配备耐高温云母板、纳米级陶瓷绝热层等 ,拥有 15 层系统化安全防护。问界官方表示,即使遇到此类极端场景,部分电芯出现损毁,依然可以有效阻止燃烧蔓延。 据IT之家此前报道,2026 年 6 月 3 日, 一辆问界 M9 在浙江省台州市泽国镇发生事故 :经现场确认,事故为车辆行驶过程中,撞击前车掉落的大块金属部件,造成强物理冲击并持续拖行一段时间后导致起火,目前火已扑灭。 相关阅读: 《 问界汽车回应浙江台州 M9 事故:撞击前车掉落的大块金属部件,造成强物理冲击并持续拖行一段时间后导致起火 》
IT之家 6 月 5 日消息,据路透社报道,当地时间 6 月 4 日,德国汉莎航空一架波音 787 客机在法兰克福机场停靠登机口期间,起落架突然发生坍塌事故, 导致机头直接砸向地面 , 多名工作人员因此受伤 。 汉莎航空随后在声明中确认,事故发生时乘客尚未开始登机、机舱内只有机组人员和地勤人员。数名工作人员在事故中受伤,目前正在接受医疗救治。公司正在与相关主管部门沟通,共同调查事故具体原因。 波音发言人表示,公司已知悉此次事故,目前正在向客户提供支持。 从现场照片来看,这架双发宽体客机的头部出现明显下沉,机腹部分直接接触地面,呈现“趴窝”状态。事故发生后,已有多辆救护车和应急车辆停靠在飞机周围。 根据汉莎航空提供的信息, 本次事故发生时间为欧洲中部夏令时 12:45(IT之家注:北京时间 18:45) ,涉事航班号为 LH450, 原计划执飞法兰克福-洛杉矶国际航线任务 。
第一次买,买了一个月的高级住宅ip,然后这个月碰到了两次事故,这次更离谱啊,连status都看不了了,官网也是进不去了,我的claude号也不知道是死是活了,下次有机会一定不入坑这个了 6 个帖子 - 5 位参与者 阅读完整话题
以为一件医疗事故 我干的是民告官,告卫健委履职不力什么的 持续了 2 年 最近开始有了新进展 信访局昨天上午组织了一场多方谈判 结果如下 患者家属,主张先谈病历疑点,进行医疗行政追责,不谈经济补偿 医院医患办,主张只谈经济补偿,不谈病历疑点责任,疑点以卫健委答复为准,医疗定责找鉴定机构,家属坚持要求回答病历疑点,拒不回答提前离场。 医调委的主张,只谈经济补偿,不懂病历疑点,主张先进行医疗鉴定才能定责。 卫健委人员,办公室负责信访出席,主张不懂病历疑点,以答复为准有异议不解释,至于患者家属询问的行政追责怎么走流程,找哪个科室什么人,卫健委人员强调他们只管信访,怎么走流程什么科室负责不懂也不清楚 信访局,全程看戏,最后让我先整理全部疑点,争取协调下一轮会谈,没有具体时间,只是争取。 搞笑的是医院院长下午去了我所在的公司跟老板东拉西扯一通没涉及医疗事故,然后离开所在公司后打了电话给老板,让老板问我想要多少钱的经济补偿,公司与医院有业务往来 我维权过程中从未透露过所在公司,由于我经常换工作,户籍登记的是无业,公司是私企 好奇医院的人通过什么渠道搞到我的底细
以为一件医疗事故 我干的是民告官,告卫健委履职不力什么的 持续了 2 年 最近开始有了新进展 信访局昨天上午组织了一场多方谈判 结果如下 患者家属,主张先谈病历疑点,进行医疗行政追责,不谈经济补偿 医院医患办,主张只谈经济补偿,不谈病历疑点责任,疑点以卫健委答复为准,医疗定责找鉴定机构,家属坚持要求回答病历疑点,拒不回答提前离场。 医调委的主张,只谈经济补偿,不懂病历疑点,主张先进行医疗鉴定才能定责。 卫健委人员,办公室负责信访出席,主张不懂病历疑点,以答复为准有异议不解释,至于患者家属询问的行政追责怎么走流程,找哪个科室什么人,卫健委人员强调他们只管信访,怎么走流程什么科室负责不懂也不清楚 信访局,全程看戏,最后让我先整理全部疑点,争取协调下一轮会谈,没有具体时间,只是争取。 搞笑的是医院院长下午去了我所在的公司跟老板东拉西扯一通没涉及医疗事故,然后离开所在公司后打了电话给老板,让老板问我想要多少钱的经济补偿,公司与医院有业务往来 我维权过程中从未透露过所在公司,由于我经常换工作,户籍登记的是无业,公司是私企 好奇医院的人通过什么渠道搞到我的底细
以为一件医疗事故 我干的是民告官,告卫健委履职不力什么的 持续了 2 年 最近开始有了新进展 信访局昨天上午组织了一场多方谈判 结果如下 患者家属,主张先谈病历疑点,进行医疗行政追责,不谈经济补偿 医院医患办,主张只谈经济补偿,不谈病历疑点责任,疑点以卫健委答复为准,医疗定责找鉴定机构,家属坚持要求回答病历疑点,拒不回答提前离场。 医调委的主张,只谈经济补偿,不懂病历疑点,主张先进行医疗鉴定才能定责。 卫健委人员,办公室负责信访出席,主张不懂病历疑点,以答复为准有异议不解释,至于患者家属询问的行政追责怎么走流程,找哪个科室什么人,卫健委人员强调他们只管信访,怎么走流程什么科室负责不懂也不清楚 信访局,全程看戏,最后让我先整理全部疑点,争取协调下一轮会谈,没有具体时间,只是争取。 搞笑的是医院院长下午去了我所在的公司跟老板东拉西扯一通没涉及医疗事故,然后离开所在公司后打了电话给老板,让老板问我想要多少钱的经济补偿,公司与医院有业务往来 我维权过程中从未透露过所在公司,由于我经常换工作,户籍登记的是无业,公司是私企 好奇医院的人通过什么渠道搞到我的底细
以为一件医疗事故 我干的是民告官,告卫健委履职不力什么的 持续了 2 年 最近开始有了新进展 信访局昨天上午组织了一场多方谈判 结果如下 患者家属,主张先谈病历疑点,进行医疗行政追责,不谈经济补偿 医院医患办,主张只谈经济补偿,不谈病历疑点责任,疑点以卫健委答复为准,医疗定责找鉴定机构,家属坚持要求回答病历疑点,拒不回答提前离场。 医调委的主张,只谈经济补偿,不懂病历疑点,主张先进行医疗鉴定才能定责。 卫健委人员,办公室负责信访出席,主张不懂病历疑点,以答复为准有异议不解释,至于患者家属询问的行政追责怎么走流程,找哪个科室什么人,卫健委人员强调他们只管信访,怎么走流程什么科室负责不懂也不清楚 信访局,全程看戏,最后让我先整理全部疑点,争取协调下一轮会谈,没有具体时间,只是争取。 搞笑的是医院院长下午去了我所在的公司跟老板东拉西扯一通没涉及医疗事故,然后离开所在公司后打了电话给老板,让老板问我想要多少钱的经济补偿,公司与医院有业务往来 我维权过程中从未透露过所在公司,由于我经常换工作,户籍登记的是无业,公司是私企 好奇医院的人通过什么渠道搞到我的底细
以为一件医疗事故 我干的是民告官,告卫健委履职不力什么的 持续了 2 年 最近开始有了新进展 信访局昨天上午组织了一场多方谈判 结果如下 患者家属,主张先谈病历疑点,进行医疗行政追责,不谈经济补偿 医院医患办,主张只谈经济补偿,不谈病历疑点责任,疑点以卫健委答复为准,医疗定责找鉴定机构,家属坚持要求回答病历疑点,拒不回答提前离场。 医调委的主张,只谈经济补偿,不懂病历疑点,主张先进行医疗鉴定才能定责。 卫健委人员,办公室负责信访出席,主张不懂病历疑点,以答复为准有异议不解释,至于患者家属询问的行政追责怎么走流程,找哪个科室什么人,卫健委人员强调他们只管信访,怎么走流程什么科室负责不懂也不清楚 信访局,全程看戏,最后让我先整理全部疑点,争取协调下一轮会谈,没有具体时间,只是争取。 搞笑的是医院院长下午去了我所在的公司跟老板东拉西扯一通没涉及医疗事故,然后离开所在公司后打了电话给老板,让老板问我想要多少钱的经济补偿,公司与医院有业务往来 我维权过程中从未透露过所在公司,由于我经常换工作,户籍登记的是无业,公司是私企 好奇医院的人通过什么渠道搞到我的底细
IT之家 6 月 3 日消息, 问界汽车官方账号“问界用户服务”今日发布关于浙江省台州市车辆事故的说明 :经现场确认,事故为车辆行驶过程中,撞击前车掉落的大块金属部件,造成强物理冲击并持续拖行一段时间后导致起火,目前火已扑灭。 IT之家注意到,该事故也在网上引发了大量讨论。目前,博主 @老林的佛系车库 分享了该事故现场的镜头画面。 根据其他车主行车记录仪视频画面来看,这辆问界 M9 在行驶过程中从正面直接压过了一个体型巨大的障碍物(动图画面不清晰,但根据官方说明来看是大块金属部件), 且车身都曾被该物件顶起 ,导致前轮短暂离地。 相关阅读: 《 问界汽车回应浙江台州 M9 事故:撞击前车掉落的大块金属部件,造成强物理冲击并持续拖行一段时间后导致起火 》
IT之家 6 月 3 日消息,问界汽车官方账号“问界用户服务”今日发布关于浙江省台州市车辆事故的说明,IT之家附全文如下: 2026 年 6 月 3 日,一辆问界 M9 在浙江省台州市泽国镇发生事故,未造成人员伤亡。事故发生后,我们第一时间与用户取得联系,提供必要协助。 经现场确认,事故为车辆行驶过程中,撞击前车掉落的大块金属部件, 造成强物理冲击并持续拖行一段时间后导致起火,目前火已扑灭 。经初步调查,事发前车辆三电系统状态正常,且未见车辆其它自身异常,事故非车辆自身原因导致。 为充分保障用户的权益,请广大网友不信谣、不传谣。
IT之家 6 月 1 日消息,江西赣州市应急管理局近日公布《赣州瑞金济广高速“10·2”较大道路交通事故调查报告》。2025 年 10 月 2 日 4 时许,在赣州瑞金市境内济广高速公路 1408km+721m 处,一辆小型轿车撞上一辆重型货车,造成一起死亡 3 人的较大道路交通事故。 《报告》显示,10 月 2 日 3 时 59 分 34 秒, 驾驶员主动激活 IACC 功能 (进入智能驾驶辅助模式);从 4 时 0 分 0 秒至 4 时 0 分 13 秒, 该车辆处于方向盘脱手状态 ;从 4 时 0 分 9 秒至 4 时 0 分 14 秒事故发生, 驾驶员未踩加速踏板和制动踏板 。 据新黄河报道,长安启源官方今日就该事故车辆的硬件配置及辅助驾驶系统的适用场景作出说明。在回应中,长安启源方面明确,事故车辆为长安启源 A07 的 2024 款车型,搭载了上一代的 IACC(集成式自适应巡航)系统, 且该车没有搭载激光雷达 。 对于该系统在复杂环境下的实际探测能力,长安启源官方提示, IACC 适合在高速公路或路况良好的道路上使用 。若遇到天气恶劣或视线不佳,如雨、雾、沙尘、光照不足等情况,系统可能无法探测到前方障碍物并做出有效响应。 针对此次事故的责任认定及外界讨论,长安启源方面表示,江西省赣州市应急管理局已于 5 月 21 日官方通报了交通事故调查报告,明确了各方责任。 官方建议以通报及调查结论为准 , 并表示“切勿被片面信息误导” 。 IT之家查询调查报告获悉, 轿车驾驶员分心驾驶及货车驾驶员违法停车共同导致该起事故,双方均负直接责任 。 相关阅读: 《 辅助驾驶≠自动驾驶!司机开“智驾”40 秒后追尾致 3 死,曾双手脱离方向盘 》
IT之家 5 月 31 日消息,比亚迪董事长兼总裁王传福在 5 月 28 日晚的发布会上宣布,比亚迪在继智能泊车安全兜底后,再次率先承诺为城市领航安全兜底 1 年。 5 月 29 日晚间,即比亚迪宣布城市领航安全兜底政策的第二天,腾势 Z9GT 车主“娜妮可真星”在小红书上发帖称,自己开启城市领航功能后发生了一起交通事故。 据介绍,该车为今年 3 月上市的腾势 Z9GT 闪充版,事故前已升级至天神之眼 5.0 系统,并已具备城市领航兜底权益。事发时,车辆在城市领航状态下行驶,与前方车辆发生剐蹭,全程未触发紧急避让,为防止更大损失,驾驶员在碰撞过程中人为踩下了刹车。 事故导致车身贴膜受损,车主随即联系了比亚迪官方客服。据车主最新动态,比亚迪官方人员已于 5 月 30 日下午完成技术勘察,判定该事故符合兜底权益范围,确认将进行兜底赔付。车主表示,整个处理过程顺畅高效,“ 完全不扯皮 ,只要证据属实,比亚迪直接认可”。 此次兜底政策的落地速度颇受外界关注。5 月 28 日,比亚迪发布会上正式宣布,为搭载天神之眼 A、B 辅助驾驶系统的车辆用户提供为期一年的城市领航安全兜底服务。 根据政策,合规使用 CNOA 城市领航功能期间,若发生有责交通事故,车辆维修、第三方财产损失、人身伤害等由本车承担的直接经济损失均由比亚迪全额赔付,且全程免费、赔付无上限、不影响次年商业险保费。 该权益覆盖新老车主:新购车用户自交车之日起生效;老车主 OTA 升级至天神之眼 5.0 版本后同样可享一年保障。权益卡会在生效后 24 小时内自动配发至比亚迪 App 权益中心,无需用户手动领取。IT之家从官方获悉,该服务不限首任车主,也不限定车主本人使用,营运车辆除外。 随着城市领航功能的普及,用户如何使用智驾时发生事故进行权益申报,成为关注焦点。比亚迪官方提供了两种报案方式: 一是通过比亚迪 App 或王朝 / 海洋小程序进入“服务 → 事故服务”发起申请,点击“是,兜底报案”填写信息提交; 二是拨打比亚迪汽车客服热线 950858,由 24 小时在线客服协助处理。同时建议同步向车险公司报案,待比亚迪售后判定符合兜底条件后,再致电保险公司撤案,这样不会影响次年商业险保费。 当然,用户需提交行车记录仪五视角视频、道路交通事故认定书、事故全景及碰撞点照片、驾驶证、行驶证等材料。 需要留意的是,该兜底政策仅适用于 CNOA 城市领航功能,ACC 自适应巡航、ICC 车道巡航辅助、HNOA 高快领航等其他行车辅助功能不在保障范围内。驾驶员首次使用辅助驾驶功能前,还需在比亚迪 App 完成相关知识学习与考试。 相关阅读: 《 比亚迪:城市领航安全兜底不限首任车主,也不限定车主本人使用 》 《 奕境曾清林谈辅助驾驶“智驾险”和“兜底承诺”差异,点赞比亚迪城市领航兜底“独一无二” 》 《 王传福:比亚迪率先承诺为城市领航安全兜底 1 年,老车主也可享 》
如果你用在亚马逊购买的零件组装火箭就会发生这样的事情 9 个帖子 - 8 位参与者 阅读完整话题
IT之家 5 月 28 日消息,在今日的比亚迪智能化战略发布会上,比亚迪集团董事长兼总裁王传福公布了比亚迪智能化下半场的三大目标:零交通事故、超级司机以及超级秘书。 他表示,智能化的下半场加速推进,Al 正在重构汽车产业,AI+ 璇玑架构已全面赋能智能座舱、辅助驾驶、动力、底盘等。 IT之家注意到,王传福还回顾了比亚迪近年来在智能驾驶领域的布局,包括 2024 年发布整车智能战略、推动“智电融合”,以及 2025 年推出“全民智驾”计划,并率先为智能泊车提供安全兜底。今年 1 月,比亚迪还通过“天神之眼”5.0 软件升级进一步提升车辆安全能力。
cbsnews.com At least 1 dead, 9 workers missing after chemical tank implosion at... The damaged tank at Nippon Dynawave Packaging Co. held approximately 900,000 gallons of white liquor, a chemical used in paper processing, authorities said. [!quote]+ 当地政府称,华盛顿州南部一家纸浆和造纸厂周二发生化学品罐内爆事故,造成至少一人死亡,九名工人下落不明。 日本 Dynawave 包装公司位于华盛顿州南部与俄勒冈州交界的朗维尤市的工厂发生罐体破裂,造成八名员工和一名消防员受伤。该部门没有说明遇难者是否为工人。 官员们说,已经通知了所有九名下落不明员工的家属。 CNN – 26 May 26 At least 1 dead and 9 missing after a chemical tank rupture at a paper and... At least one person has died, nine people were injured and nine employees remain unaccounted for after a large vat of chemical treatment product, including hazardous materials, ruptured at a paper and packaging facility in Washington state, fire... bbc.com Longview explosion: one killed and others missing after blast at paper mill Nine others were injured and another nine are missing after a tank ruptured at a paper mill in Longview, Washington. 1 个帖子 - 1 位参与者 阅读完整话题
我看到,男生见面第一件事,就是发根烟,见老板也是先发跟烟,因为我不抽烟吗,但看这情况,后面我也去买了包,应该就是20几块的吧,因为我也不知道怎么和别人聊天,就学他们遇到人就发根 因为刚入职没多久嘛,分了个师傅给我,人挺好的,我也不知道说什么,不想太刻意,所以我也是有事没事给师傅来根,后面他跟我聊了聊,听了之后就跟我说,你个不抽烟的人,就不要买烟给人家发了,给人家有时候买个水就行,我就好奇这是不是只是嘴上说说的,客气话 所以就想问问佬们,就现在这社会,如果不抽烟,要不要买包用来发,是不是太刻意了,如果买包发的话,别人问我抽不抽烟,我要不要骗人说抽呀,或者该怎么说,或者不买的话,那有什么技巧嘛,还是说专精提升自己的利用价值,我真不知道怎么和别人聊天,嘴巴笨,该怎么办,可以买什么书看嘛推荐推荐 22 个帖子 - 19 位参与者 阅读完整话题
IT之家 5 月 25 日消息,5 月 21 日,工业和信息化部装备工业发展中心发布《关于开展 2026 年新能源汽车安全隐患排查工作的通知》(以下简称《通知》),要求新能源汽车生产企业开展产品安全隐患排查工作,并于 8 月 31 日前上报排查情况。 IT之家从《通知》中获悉,新能源汽车安全隐患排查涵盖产品质量、运行监测安全排查等 5 个方面。其中,产品质量安全排查共分为两个方面:动力电池系统安全排查和新能源整车质量安全排查。 在新能源整车质量安全排查方面,《通知》提到, 企业应对组合驾驶辅助系统功能安全及预期功能安全情况进行排查 ,包含组合驾驶辅助系统传感器、决策系统及执行系统故障发生情况、系统功能或性能不足及人员误用情况等。企业应结合车型产品特点制定详细排查工作计划,统计排查信息,及时采取有效措施消除风险。 《通知》还提到,企业应对运行在极端天气(如暴雨等自然灾害)或特殊工况场景(如高温、高寒、高湿等)下的新能源汽车质量安全风险进行排查并统计相关信息,包含启动及行驶过程质量安全、电池冷却系统安全、绝缘系统安全等。企业应结合车辆实际使用情况,对排查过程中发现的问题及时采取有效措施进行处理。 新能源汽车起火燃烧事故调查及上报方面,具体要求如下: 事故发生后,企业应在 24 小时内 (如造成人员死亡或重大社会影响的,应在 12 小时内)完成事故基本信息上报。 企业应在 5 日内 完成事故详细信息上报,包括车辆唯一性特征信息、车辆主要技术特征和性能指标、现场记录、失火前和失火时的描述、救援灭火过程、车辆使用维护信息、企业监测平台事故车辆事故当天以及前三个月监测数据等。 企业应在 15 日内 按要求上传事故全面分析技术报告。分析报告应包括事故详细信息及处理情况介绍;事故车辆基本情况;事故车辆使用及售后服务信息;该车型动力电池、模组、pack 相关技术介绍;事故车辆的勘验及分析;企业平台数据分析;事故原因及改进措施等。 如发现企业存在 未按规定上报、隐瞒不报、提供虚假材料及不配合开展事故调查 等情况的,中心将报请工业和信息化部装备工业一司,视问题性质、严重程度,按照有关规定采取约谈、公开通报、责令限期改正,直至暂停或撤销产品《公告》等处理处罚手段。
转载自 @探姬 原文链接: X 上的 探姬 | Hello-CTF :“在各种投毒轰炸的情况下,最好的办法就是最开始就别中招” / X 在各种投毒轰炸的情况下,最好的办法就是最开始就别中招 一篇关于 GitHub 供应链投毒、Rust 多阶段木马与 X 账号被盗的技术复盘,刚好我找回的账号,黑客送了我一个蓝v,就写一下。 事件背景 事情始于 GitHub 仓库 DeepSeek-TUI/DeepSeek-TUI。 当时第二天要比赛,想着拿几个模型去打,然后测一下效果,那会天天听到tui的项目,想着要不去试试,然后边打游戏边找,脑子根本没多想。 当时该项目约有 300+ Star,曾登上 GitHub Trending,在必应搜索 DeepSeek-TUI 时会被推到第一位。源项目 Hmbown/DeepSeek-TUI 本身是一个 Rust TUI 项目,而恶意 Fork 展开后与原版体积差距仅有约 2MB。 这 2MB 的增量,包含了一整套多阶段 Rust 木马。 后来再去查看这个仓库时,发现它已经从 GitHub 上消失了。但问题并没有因此结束——它的本体被多个知名项目收录,比如一个 Star 数高达 13k 的仓库 decolua/9router 就包含了它。此外还能看到一些 AI 项目在对这个工具做推荐,更有一些 Fork 直接保留了带毒样本的 Release 文件。这意味着即使原仓库被删除,恶意代码仍然通过"被收录"“被推荐”"被 Fork"的方式继续传播,进入更多人的视野。 时间线复盘 Day 0:下载与执行 下载并运行了该项目。Rust 编译的可执行文件,表面看起来正常。 Day 1:被忽略的邮件 谷歌发送了邮件,提示账号邮箱已被修改。但当时没有注意到这封邮件。 X 的安全机制存在一个 24-48 小时的修改限制窗口:攻击者修改邮箱后,如果原账号同时绑定了手机和邮箱,攻击者需要等待 48 小时才能彻底完成接管。在这 48 小时内,原主人仍有机会通过手机号夺回控制权。 错过了这个窗口期。 Day 2:被强制下线 24 小时后,X 账号被强制下线。此时才去查看邮件,发现了来自 X 和 Google 的告警。 后续:申诉与找回 接下来是向 X Support 提交工单、证明账号归属的申诉流程。 目前账号已找回。 技术解剖 找回账号后,对落地的样本进行了静态分析。 这是一个模块化的多阶段恶意软件家族。 基于本地 IDA 导出文件分析,该家族至少包含 5 个同源 Rust 样本,采用 rustc stable-x86_64-pc-windows-msvc 编译,开发者环境统一为 C:\Users\root\,共享 memexec-0.2.0 等 crate 依赖。 攻击链结构 [GitHub 投毒下载] │ ▼ [Stage2 样本家族] ──┬──► onedrive_sync.exe (x86) ──► 持久化 + Loader 双重角色 ├──► audiocontrol.exe (x64) ──► 纯内存 Loader (RC4 解密) ├──► vs_vcode.exe (x64) ──► 内存 Loader + 双层伪装 ├──► svc_service.exe (x64) ──► 纯持久化驻留模块 └──► WinHealhCare.exe (x64) ──► 主控 Payload (C2 / 命令分发) 五个样本的核心能力 样本 角色 关键能力 WinHealhCare.exe 主控端 C2 轮询(Pastebin/Snippet.host)、命令执行(cmd/powershell)、文件传播(8组路径)、反沙箱(7项检测)、外网IP收集 audiocontrol.exe x64 Loader RC4 解密嵌入载荷(PID绑定密钥)、memexec-0.2.0 内存加载、TLS回调、DEBUG/RUST_BACKTRACE反调试 vs_vcode.exe x64 Loader+伪装 共享 audiocontrol 核心代码, 新增entropy_reducer.rs 熵减解密层,硬编码 JSON+TOML 双套伪装配置 onedrive_sync.exe x86 持久化Loader 注册表 Run 键写入、互斥体 Global\{CoreTask1461}_ 、自我复制为 manager.exe 、PE资源 HRLBXLNQ 提取+memexec svc_service.exe 纯持久化 计划任务(schtasks /ONLOGON /RL HIGHEST)、Winlogon Userinit 追加、Startup目录、硬件断点注入(Dr0/Dr1/Dr7)、防火墙规则添加、CLR/.NET加载(clroxide)、直接 Syscall 权限维持机制 该家族采用多阶段、多权限维持、多释放路径的策略: 注册表层面: • HKCU\Software\Microsoft\Windows\CurrentVersion\Run 写入随机化名(MediaIndexHelper、{NetworkManager} 等) • HKLM 同级路径写入 • Winlogon Userinit 追加执行(C:\Windows\system32\userinit.exe, [恶意路径]) 计划任务层面: • schtasks /Create /SC ONLOGON /RL HIGHEST,任务名伪装成 ChromeSyncHost、EdgeUpdateHelper、WindowsSecurityHost 等 16 个名称 • 覆盖登录触发、启动触发、每小时/每日重复执行 文件系统层面: • 自我复制到 8 组硬编码路径: o %APPDATA%\Microsoft\Windows\Templates\ChromeUpdateSvc.exe o %LOCALAPPDATA%\Temp\MicrosoftSync.exe o C:\ProgramData\Adobe\AdobeCloudSync.exe o C:\ProgramData\Intel\IntelGraphicsHost.exe 等 • 随机后缀生成(字符池 a-z0-9),支持 {SUFFIX} 和 {USER} 占位符替换 • .lnk 快捷方式写入 Startup 目录 内存执行层面: • 三个 Loader 样本均使用 memexec-0.2.0 将下一阶段 PE 无文件加载到内存 • NtAllocateVirtualMemory + VirtualProtect + IAT 修复 + TLS 回调 + 入口点 call rax • audiocontrol.exe 使用 RC4 解密且密钥与 PID 绑定,内存 Dump 无法直接复现 • vs_vcode.exe 疑似新增自定义 entropy_reducer.rs 熵减层,规避基于熵的静态检测 反分析与反沙箱: • WinHealhCare.exe 内置 7 项反沙箱检测:屏幕分辨率、物理内存、磁盘空间、CPU 核心数、计算机名、IsDebuggerPresent、以及 30+ 进程/DLL 黑名单(ollydbg、x32dbg、x64dbg、wireshark、vmware、vbox、cuckoo 等) • audiocontrol.exe 检测 DEBUG 和 RUST_BACKTRACE 环境变量,存在则直接 ExitProcess(0) • svc_service.exe 检测鼠标活动后才执行 Payload,并设置硬件断点注入(Dr0/Dr1/Dr7),同时具备直接 Syscall 能力 C2 与信息窃取 https://pastebin.com/raw/csi5UqpE (主 C2 U1) https://snippet.host/wtbtew/raw (备用 C2 U1) https://pastebin.com/raw/fTxiyhbL (主 C2 U2) https://snippet.host/iqqmib/raw (备用 C2 U2) http://checkip.amazonaws.com (外网 IP 收集) • 内置 5 种浏览器 User-Agent 轮换(Chrome 137/140/141、Firefox 143、Edge 140) • 命令通过字符串匹配分发:chromeupdatesvc→HKCU持久化、microsoftsync→.lnk快捷方式、adobecloudhelper→计划任务 • 支持静默执行(CREATE_NO_WINDOW),支持 PowerShell + WshShell 脚本执行 微软浏览器(Edge/Chrome)的密码在这个阶段容易被后续加载的模块窃取。样本具备完整的命令执行与文件传播能力,可以下载执行凭证窃取工具,或由内存加载的 Payload 直接访问浏览器凭证存储。 几个关键的巧合 复盘这次事件,几个因素叠加导致了最终的结果: GitHub 供应链投毒的信任基础 300+ Star、上过 Trending、搜索结果第一位、与原版仅差 2MB。Star 数和 Trending 构成了信任背书,降低了警惕性。更麻烦的是,它还被多个高星项目收录、被 AI 推荐,这种"二次背书"让风险更加隐蔽。 X 的历史 2FA 策略 2023 年,X 的二步验证策略是:必须订阅 Premium 才能使用 2FA。如果没有订阅,系统会取消二步验证。后面虽然支持了 Google Authenticator 和硬件安全密钥,但如果账号恰好处在那个未开启 2FA 的状态——账号就只有密码保护。 邮件告警未被及时处理 谷歌发送了邮件,X 也可能发送了通知,但都没有及时查看。攻击者不需要阻止你收到邮件,只需要确保你在 24 小时内不去处理。 48 小时窗口期 X 的"修改后 24h 内无法再次修改"机制,本意是保护用户,但在这里给了攻击者 24-48h 的缓冲期来完成接管。如果原主人错过这个窗口,就会失去通过原始手机号快速恢复的机会。 防守方的困境与唯一解 分析完这 5 个样本后,能体会到一旦执行后的排查难度: • 清除了注册表 Run 键,还有计划任务; • 删除了计划任务,Winlogon Userinit 可能被篡改; • 修复了 Userinit,Startup 目录里可能有 .lnk; • 删掉了落地文件,内存里可能还有 memexec 加载的无文件 Payload; • 重启了电脑,svc_service.exe 可能通过 schtasks /ONLOGON /RL HIGHEST 重新建立。 多阶段、多权限维持、多释放路径,意味着需要进行完整的事件响应流程:内存取证、注册表全量检查、计划任务审计、网络流量回溯。 所以成本最低的方案,就是最开始就别中招。 对于普通用户: • 启用一切可能的 2FA,优先使用硬件密钥或 Authenticator App • 对账号安全类邮件保持关注,设置独立提醒 • 对 GitHub 上的"热门新项目"保持警惕,Star 可以被刷,Trending 可以被操控,与原版 diff 是基本操作 • 浏览器密码避免存储重要账号,使用独立密码管理器 关于开源信任的额外思考 这次事件还带来一个关于开源软件信任的观察。 人们常常觉得"开源 = 安全",因为代码是公开的,任何人都可以审查。但开源的安全并不取决于开源本身,而是取决于实际有多少人在看、在看的人有没有能力发现问题、以及 release 里的二进制是否真的对应了仓库里的源码。 一个 300+ Star 的仓库,可能真正看过源码的人不到十个。而当它被 13k Star 的项目收录、被 AI 工具推荐时,这种"信任传递"会让更多人放下戒备——毕竟,“这么多人在用,应该没问题吧”。 但现实是,Star 数可以被刷,Trending 可以被操控,收录和推荐往往也只是基于功能描述而非安全审计。更关键的是,很多用户直接下载的是 Release 里的预编译二进制,而不是自己从源码编译。如果 release 里的可执行文件已经被替换,即使仓库里的源码看起来干净,也毫无意义。 所以对待开源项目,尤其是带预编译 release 的工具,多一个验证步骤并不麻烦:diff 一下源码、检查一下编译来源、在沙箱里先跑一遍。这些习惯在供应链投毒越来越频繁的今天,算是基本操作。 写在最后 找回账号后,把这 5 个样本完整分析了一遍。这是一个架构清晰、分工明确、具备反沙箱和多层持久化能力的恶意软件家族。 而我,因为一次正常的 GitHub 浏览、一封没看的邮件、一个历史遗留的 2FA 空窗期,账号就被盗了。 在各种投毒轰炸的情况下,最好的办法就是最开始就别中招。 因为一旦执行,要对抗的不再是某一个文件,而是一整套互为备份、扎根在系统各个角落的恶意生态。 希望这篇复盘,能让你在遇到下一个类似项目时,多留一个心眼。 附录:核心 IoC 类型 指标 C2 URL https://pastebin.com/raw/csi5UqpE、https://pastebin.com/raw/fTxiyhbL、https://snippet.host/wtbtew/raw、https://snippet.host/iqqmib/raw 释放文件名 ChromeUpdateSvc.exe、MicrosoftSync.exe、AdobeCloudHelper.exe、OneDriveSyncHost.exe、manager.exe、svc_host.exe、~update.tmp.exe 注册表值名 MediaIndexHelper、{NetworkManager}、System、Network、Host、Controller、USB 计划任务名 ChromeSyncHost、EdgeUpdateHelper、WindowsSecurityHost、AdobeCloudSync、TelemetrySyncSvc等 互斥体 HPCQM、Global{CoreTask1461}_、Global\6TpMUGXh_QnWf8m 伪装配置 “System Service Manager” 2.1.4、“Document Workspace” 10.0.22621.1 防火墙规则前缀 name=Telemetry_In_、name=Telemetry_Out_ 转载者评论: 最近AI应用尤其是梁圣降价后很多人会开始考虑用一些关联性项目,从安全态势来看近期同类型投毒案例也是激增,大家务必注意安全 7 个帖子 - 7 位参与者 阅读完整话题
IT之家 5 月 24 日消息,蓝色起源公司的巨型新格伦号火箭现已获准恢复发射。该公司当地时间周五表示,今年 4 月一次发射任务中,火箭上面级未能将商业载荷送入预定轨道,目前美国联邦航空管理局已批准其重启飞行。 蓝色起源并未披露过多细节,仅在社交平台发文称,新格伦号火箭上面级出现异常热工况,致使三台火箭发动机中的一台推力未达预期。受此影响,本该被送入太空的 AST SpaceMobile 卫星最终在地球大气层中焚毁。该卫星企业表示,其已购买保险,损失可得到赔付。 这家由杰夫 · 贝索斯创立的航天企业已向美国联邦航空管理局提交事故报告,并完成整改措施,但并未说明具体整改内容。 IT之家注意到,此次事故发生在新格伦号火箭的第三次飞行任务中,任务其余环节均运行正常。本次任务还首次实现火箭助推器复用,并第二次成功在海上无人船上完成着陆回收。 发射许可获批后,蓝色起源可继续推进新格伦号火箭今年密集发射计划。公司原定 2026 年底前完成多达 12 次发射,此次为期一个月的停飞管控,会对既定发射目标造成多大影响目前尚不明确。
IT之家 5 月 24 日消息,据路透社本周(5 月 21 日)报道,泰国消费者保护机构 OCPB 对沃尔沃泰国分公司提起民事诉讼,原因是 EX30 电动汽车出现电池相关起火事故。 据报道,泰国消费者保护机构采取此等法律行动,源于泰国国内本月发生的两起 EX30 起火事故。目前该国已有 1600 辆 EX30 上路。 沃尔沃发言人曾在此前表示,起火事故发生率极低, 受影响车辆比例远低于 0.1% 。同时该公司已向车主发出通知:暂时不要将电池充电至 70% 以上。 泰国消费者保护机构官员透露,沃尔沃在消费者协商会议中提出了多种解决方案,包括为受影响车主更换电池、提供临时代步车等,不过车主并不买账。一名参加会议的用户表示:“ 大部分消费者想要的是全额退款 ,而不是换电池”。 截至IT之家发稿,沃尔沃泰国方面暂未回应置评请求。