全球网络钓鱼动态简报（2025年11月）

175个恶意npm包滥用UNPKG CDN，2.6万次下载被用于搭建钓鱼基础设施

安全研究披露，一个大规模供应链滥用事件中，至少175个恶意npm软件包被发布并下载超过2.6万次，攻击者借助UNPKG CDN将包内静态资源快速分发，用于托管钓鱼页面、重定向脚本与跟踪像素，规避域名信誉与托管拦截。攻击流程通常以仿冒企业SaaS登录页、单点登录门户或包更新通知为引子，通过CDN缓存实现高可用与地理加速，显著提升投递成功率与存活时间。受影响的多为开发者与内部IT人员，其浏览器被诱导加载来自“可信CDN”的内容而放松警惕。

研究者指出，威胁方还利用包名投毒与拼写劫持（typosquatting）扩散安装量，并通过自动化脚本批量上架新包以对抗下架。影响层面，企业邮件与凭证被窃取后用于横向移动与商务邮件入侵（BEC），CDN信誉受损也加剧平台治理压力。专家建议：对开发环境启用私有镜像与包许可名单；在安全网关中引入URL解包与CDN二级路径检测；对开发者开展供应链安全培训，警惕“更新提醒”类社工；采用FIDO2无密码或一次性密钥，降低凭证被盗风险；对UNPKG等公共CDN启用内容完整性校验（SRI）与严格CSP策略，减少第三方资源被替换的攻击面。

海外韩侨遭“使领馆”高仿钓鱼激增：深度伪造语音与跨境转账诱骗并行

韩国媒体报道，近期针对海外韩国人的高仿钓鱼案激增，犯罪团伙冒充大使馆、领事馆工作人员，以签证异常、涉案通告或护照冻结为由，要求受害者通过即时通讯或假官网核验身份并“临时缴费”。手法升级体现在三点：一是利用来电显示欺骗与SIM交换，使电话显示为使领馆号码；二是借助深度伪造韩语语音与伪造印章公文增强可信度；三是引导至仿冒政府或快递网站，收集护照号、ARC号、银行卡与一次性验证码。资金通常被转至中国香港、新加坡或加密货币钱包后分散清洗。受害者多为留学生、新移民与短期商务人士，因时差、语言与对当地流程不熟而易中招。警方提醒：使领馆不会电话索取账号密码或要求跨境转账；核验应通过官网公布的联系渠道；启用银行转账限额与延迟释放；对“紧急”“涉案”“保密”字眼保持警惕。专家建议为老年与学生群体提供多语种反诈指引，运营商应配合实施国际来电标记与STIR/SHAKEN类呼叫认证，减少号码伪造。

冒充同事接管邮件会话成为新常态：窃取线程后发起“可信回复”式钓鱼

美国媒体披露，诈骗分子通过入侵单个员工邮箱或供应商账户，窃取正在进行的邮件线程，再以“回复全部”的形式插入恶意链接或篡改付款指示，伪装成同事或合作方继续对话，形成极具欺骗性的会话劫持钓鱼（reply-chain phishing）。攻击常借助OAuth令牌滥用、IMAP暴破与信息窃取木马获取初始访问，随后设置转发规则与隐蔽APP权限，实现长期潜伏。高危场景包括发票对账、采购变更与人事入职邮件，因存在真实上下文与签名，收件人即便具备培训也难以识别。影响方面，企业面临BEC资金损失、数据外泄与合同违约风险。

专家建议：开启MFA并优先采用抗钓鱼FIDO密钥；监控异常登录地与不常用协议；对邮件网关启用内联URL重写与沙箱；部署DMARC/DKIM/SPF并执行拒收策略；对财务流程实施“二人复核+回拨验证”；定期审计第三方OAuth应用授权与邮箱自动转发规则。

钓鱼工具包骗术翻车：诈骗者互坑、套件内置“黑吃黑”机制曝光

The Register 报道，一款在中文地下论坛流通的钓鱼工具包被发现内置“抽水”与后门，购买者部署后，受害者提交的凭证会被悄悄同步给套件作者，实现对下游诈骗者的二次剥削。该工具包提供一键伪装近百品牌登录页、短信/邮件投递模板与反机器人识别，并包含用于绕过Cloudflare/验证码的脚本。

研究者指出，此类“即服务”套件大幅降低作案门槛，也形成利益链条内的相互欺骗。受影响行业涵盖银行、电商与物流，全球多地均见到相关页面。专家建议安全团队对网络边界与邮件流量进行品牌冒用监测，运用tak难识别edown与打击托管平台的策略加速下线；同时建立凭证使用风险评分与强制重置流程，结合FIDO无密码方案降低钓鱼收益。对执法部门而言，应加强对工具包作者与经销渠道的打击，切断“犯罪即服务”的供给侧。

多任务处理员工更易中招：注意力分散显著提升钓鱼点击率

KnowBe4 最新研究显示，处于多任务状态的员工在处理邮件时对可疑信号的敏感度显著下降，钓鱼点击率与凭证提交率明显上升。实验通过模拟真实业务场景下的时间压力与任务切换，发现当同时应对聊天、会议与Deadline时，用户更倾向于依赖启发式判断，如识别发件人姓名片段或熟悉的品牌Logo，而忽视域名异常、拼写差错和链接预览不一致等红旗。管理层推动“快回复文化”与KPI压力亦被认为是风险放大的组织因素。影响方面，集中爆发的点击行为可能为攻击者提供短时窗口，快速完成持久化与横向移动。

专家建议：优化工作节奏，允许对外部邮件“延迟处理”；在客户端启用显著的外部邮件标识与链接悬停预览；采用抗钓鱼MFA与行为分析拦截；在培训中加入分心情境演练，提升在高负荷状态下的识别能力；对高风险岗位（财务、人资、IT）实施更严格的审批与隔离策略。

针对QR码的“Scanception”网络钓鱼活动曝光

近期，网络安全公司Cyble揭露了一项名为“Scanception”的新型网络钓鱼攻击活动。该活动主要通过伪装成合法服务的二维码，诱导用户扫描后进入仿冒网站，从而窃取个人敏感信息。攻击者利用用户对二维码的信任心理，将恶意链接嵌入二维码内，绕过传统的邮件安全检测手段。此次攻击不仅针对普通用户，还波及企业员工，增加了数据泄露的风险。专家指出，二维码钓鱼因其隐蔽性强、难以追踪，已成为网络犯罪分子的新宠。建议用户在扫描二维码前务必核实来源，企业应加强员工安全意识培训，同时部署多重身份验证措施，以防范此类新型网络钓鱼威胁。

“隐匿即服务”或将重塑网络钓鱼格局

据Betanews报道，一种被称为“Cloaking-as-a-Service（隐匿即服务）”的新兴网络犯罪手段正在快速发展。该服务通过为钓鱼攻击者提供高效的流量过滤和内容伪装技术，帮助其绕过安全检测工具，提升钓鱼邮件的送达率和欺骗性。攻击者可按需租用此类服务，极大降低了钓鱼活动的技术门槛和成本。专家警告，这种模式将导致钓鱼攻击更加精准和难以识别，传统安全防御措施面临更大挑战。建议企业及时升级安全网关，采用行为分析等先进检测手段，并持续加强员工的安全教育，以应对不断演化的钓鱼威胁。

网络钓鱼攻击滥用二维码绕过FIDO密钥

SCWorld报道称，近期出现的新型网络钓鱼攻击利用二维码技术，成功绕过了基于FIDO标准的多因素认证（MFA）机制。攻击者通过发送包含恶意二维码的邮件或消息，诱导受害者扫描后在伪造网站输入凭证，进而获取账户控制权。这一手法突破了传统安全硬件的防护边界，给企业和个人账户安全带来新威胁。安全专家建议，除了依赖硬件密钥外，还应结合URL检查、内容过滤等多层防护措施，同时加强员工对二维码钓鱼的识别和防范能力。

谷歌Gemini漏洞被曝可发动隐蔽钓鱼攻击

CSO Online披露，谷歌Gemini AI平台近日被发现存在一项安全漏洞，攻击者可利用该漏洞在生成内容中植入隐藏的钓鱼链接，从而规避常规安全检测。该漏洞使得钓鱼攻击更具隐蔽性，受害者在不知情的情况下点击恶意链接，导致敏感信息泄露。谷歌已对此展开调查，并着手修复相关问题。专家建议，企业和个人用户在使用AI生成内容时需保持警惕，避免随意点击可疑链接，同时定期更新安全补丁，提升整体防护能力。

虚假内部邮件成钓鱼演练“重灾区”

Australian Cyber Security Magazine最新报道显示，企业网络安全演练中，伪装成内部邮件的钓鱼测试邮件点击率最高，显示出员工对内部通信的信任度被黑客利用。模拟测试结果表明，员工更容易对看似来自同事或管理层的钓鱼邮件掉以轻心，导致信息泄漏风险上升。专家建议企业加强内部邮件安全检测，定期开展钓鱼防范培训，提高员工识别可疑邮件的能力，尤其要警惕那些冒充内部人员的钓鱼攻击。

针对开发者的NPM钓鱼邮件攻击警报

VOI报道，近期安全研究人员发现，开发者群体成为NPM相关钓鱼邮件的新目标。攻击者向开发者发送伪装成NPM官方通知的邮件，诱导其点击恶意链接并输入账户凭证，进而获取代码库访问权或植入恶意包。此类攻击不仅威胁开发者个人账号安全，还可能导致开源项目被篡改，影响范围广泛。专家建议开发者提高警惕，核实所有来自NPM的邮件通知，避免在未知页面输入敏感信息，并开启多因素认证，以降低账户被盗风险。

钓鱼攻击巧妙规避邮件安全网关设计揭秘

KnowBe4安全博客指出，现代网络钓鱼攻击越来越注重“工程化”设计，专门针对企业部署的安全邮件网关（SEG）进行规避。攻击者通过动态域名、内容变异、嵌入式图片和多跳重定向等手段，绕过自动检测机制，提高钓鱼邮件的送达率和欺骗性。报告强调，仅依赖传统邮件安全网关已难以抵挡高度定制化的钓鱼攻击。专家建议企业结合人工智能辅助检测、行为分析以及员工持续安全培训，提升整体钓鱼防护能力。

Veeam主题钓鱼活动传播恶意软件

CyberPress报道，近期一波以Veeam备份软件为主题的钓鱼邮件活动正在全球范围内传播恶意软件。攻击者通过伪造Veeam官方通知邮件，诱导用户下载并执行带有恶意代码的附件或链接，一旦中招便可能导致数据被窃取或系统被远程控制。此次攻击针对企业IT和运维人员，利用其对备份通知的信任心理。专家提醒企业加强邮件安全过滤，核实所有软件通知来源，并定期对员工进行反钓鱼培训，降低因邮件诈骗导致的安全事件发生率。

Okta新专利有望阻断AI驱动的钓鱼攻击

据The Daily Upside报道，身份认证服务商Okta近日获得一项新专利，旨在利用人工智能技术识别并阻断AI生成的钓鱼攻击。该专利通过分析电子邮件和消息中的语言模式、链接结构和行为特征，实时检测并拦截可疑内容，显著提升防御AI驱动钓鱼的能力。专家认为，随着AI技术被广泛用于钓鱼邮件自动生成，传统防御方式面临巨大挑战，Okta此项创新有望为企业带来更智能化的安全防护。建议企业关注AI安全领域新进展，积极部署前沿防护技术。

媒体行业遭遇AI伪造记者身份的钓鱼骗局

Axios报道，近期网络钓鱼活动频繁冒充新闻机构和虚假记者，利用AI技术生成逼真的采访请求或新闻合作邮件，诱导受害者点击恶意链接或泄露敏感信息。此类钓鱼攻击专门针对公关、媒体和企业高管，利用行业信任关系实施诈骗。专家指出，AI技术极大提升了钓鱼邮件的仿真度和欺骗性，传统的安全过滤难以完全识别。建议媒体和相关从业人员加强身份核查流程，不随意点击陌生邮件中的链接，并提升对AI生成内容的鉴别能力，以降低被钓鱼攻击的风险。

开发者警惕NPM钓鱼邮件攻击风险上升

Cybersecurity News报道，近期针对开发者的NPM钓鱼邮件攻击显著增加。攻击者伪装成NPM官方或知名开源项目团队，向开发者发送钓鱼邮件，诱导其访问伪造登录页面并输入凭证，进而盗取代码库访问权限或植入恶意软件。此类攻击不仅威胁单个开发者账户，还可能影响整个开源生态系统的安全。专家建议开发者启用多因素认证，定期检查账户安全，并警惕所有涉及NPM的电子邮件，避免在未知页面输入敏感信息。

PyPI警告持续性网络钓鱼攻击威胁Python开发者

近日，Python官方软件包存储库PyPI发布警告，称其平台正遭遇一轮有组织的网络钓鱼攻击。攻击者通过伪造的PyPI网站和邮件，诱骗开发者输入账户凭证，进而窃取敏感信息并上传恶意软件包。此次攻击不仅利用了高度仿真的钓鱼页面，还结合社交工程手段，致使部分开发者上当。事件背景显示，PyPI作为全球最大Python开源代码库，其安全性直接影响数以百万计的项目。此次事件已导致部分账户被盗用，相关恶意包被迅速下架。专家建议开发者务必启用多因素认证，警惕可疑邮件和链接，并定期检查账户安全。此次事件凸显了开源生态系统面临的持续威胁，也提醒各大平台加强安全防护措施。

Mozilla警告：扩展开发者遭遇新型钓鱼攻击

Mozilla官方近日发布公告，警告Firefox扩展开发者正成为新一轮网络钓鱼活动的目标。攻击者通过伪造的官方邮件，诱导开发者点击恶意链接并输入账户信息，试图获取扩展商店的管理权限。此次攻击手法精细，邮件内容高度仿真，甚至包含假冒的安全通知。Mozilla强调，目前尚未发现大规模账户被盗，但提醒所有开发者提高警惕，避免点击未知来源的链接，并建议启用多因素认证以加强账户防护。事件反映出开源社区和第三方开发者平台正成为网络犯罪分子的重点目标，专家呼吁平台方持续完善安全机制，并加强用户安全教育。

Google披露UNC3944勒索软件利用语音钓鱼和权限劫持攻击美多行业

Google威胁分析团队近日披露，名为UNC3944的网络犯罪组织正在美国多个关键行业发起一系列勒索软件攻击。该组织利用语音钓鱼（vishing）和管理员权限劫持等手段，突破企业防线并部署勒索软件。攻击者通常先通过社交工程电话获取初步信任，再诱导受害者提供敏感信息或执行恶意操作。此次攻击波及金融、医疗、制造等多个领域，造成数据泄露和业务中断。Google专家指出，UNC3944的攻击链条复杂，结合多种社会工程与技术漏洞，给企业带来巨大挑战。建议企业加强员工安全培训，完善多因素认证及访问控制，及时修补系统漏洞，以降低被攻击风险。

加密货币用户因精密钓鱼攻击损失90.8万美元

近日，一名加密货币用户因遭遇高度复杂的网络钓鱼攻击，损失高达90.8万美元。攻击者通过伪造钱包界面和钓鱼网站，诱导受害者输入助记词和私钥，从而盗走其数字资产。此次事件手法隐蔽，攻击页面与官方几乎无异，受害者在毫无察觉的情况下泄露了关键信息。专家指出，随着加密货币市场的繁荣，相关钓鱼攻击呈现高发态势，用户一旦泄露私钥或助记词，资产极难追回。建议投资者务必通过官方渠道访问钱包服务，切勿点击不明链接，并采用硬件钱包等多重安全措施。

Web3钱包罕见钓鱼攻击致近百万美元损失

近期，一起罕见的Web3钱包钓鱼事件导致用户损失近100万美元。攻击者利用伪造网站和社交工程手段，诱骗受害者输入钱包助记词和密钥，进而转移其数字资产。此次事件暴露出Web3生态在安全教育和防护机制上的薄弱环节。专家指出，Web3钱包去中心化特性虽然提升了用户自主权，但也增加了安全风险。一旦私钥泄露，资产将难以追回。建议用户加强安全意识，仅通过官方渠道访问钱包服务，避免点击可疑链接，并考虑使用硬件钱包等方式提升安全性。

黑客利用Microsoft Teams和Slack发起钓鱼攻击

据安全研究人员报告，黑客正在利用Microsoft Teams和Slack等主流协作平台进行网络钓鱼攻击。攻击者通过伪造内部消息或文件分享，诱导用户点击恶意链接或下载带有木马的附件，进而窃取账户凭证或植入恶意软件。由于这些平台在企业内部广泛使用，用户往往对内部信息放松警惕，增加了攻击成功率。专家建议企业加强员工安全培训，提升对钓鱼信息的识别能力，并部署先进的安全监控工具，及时发现和阻止异常行为。同时，建议限制第三方应用权限，定期审查平台安全策略，以防止类似攻击带来更大损失。

摩洛哥爆发假调查问卷和可疑链接钓鱼活动

摩洛哥近期出现大量假冒调查问卷和可疑链接的网络钓鱼活动。攻击者通过社交媒体和短信，向用户发送虚假调查问卷，诱导其填写个人信息或点击恶意链接，进而实施诈骗或窃取数据。此次攻击波及范围广泛，受害者涵盖普通网民和企业员工。安全专家提醒，用户应警惕任何要求输入敏感信息的问卷或链接，尤其是来源不明的消息。建议公众加强网络安全意识，遇到可疑情况及时向相关部门举报，同时企业应加强内部安全培训，防止员工因疏忽而泄露重要信息。

攻击者利用URL扫描服务绕过钓鱼检测机制

最新研究发现，网络犯罪分子正利用公共URL扫描服务（如VirusTotal等）来包装钓鱼链接，从而绕过企业安全检测。攻击者先将钓鱼链接提交到这些服务，再将扫描结果页面作为“安全”链接发送给受害者，诱导其点击并访问真实的钓鱼网站。这一手法利用了用户对权威安全服务的信任，显著提升了攻击成功率。专家指出，传统安全网关难以识别此类间接跳转，建议企业加强对URL跳转和重定向的监控，提升员工安全意识，避免盲目信任第三方扫描结果。此次事件提醒安全行业需不断更新检测策略，以应对新型钓鱼伎俩。

微软MFA钓鱼攻击利用OAuth应用绕过多因素认证

近期，安全研究人员发现黑客通过伪造微软OAuth应用，针对企业用户发起多因素认证（MFA）钓鱼攻击。攻击者诱导用户授权恶意OAuth应用，从而获取对Microsoft 365账户的访问权限，即使目标已启用MFA保护。此次攻击模式绕过了传统的密码和验证码验证，直接利用OAuth授权机制，危害极大。专家指出，攻击者可借此访问受害者的邮箱、文件及其他敏感数据，甚至进行进一步的横向渗透。微软已发布安全建议，提醒管理员定期审查和撤销不明OAuth应用授权，并加强用户教育，警惕任何异常授权请求。该事件反映出新型钓鱼手法对企业身份安全提出了更高要求。

韩国企业因网络钓鱼攻击面临重大经济损失

韩国《朝鲜日报》英文版报道，近年来韩国企业因网络钓鱼攻击造成的经济损失持续攀升。攻击者通过伪造企业内部邮件、供应商通知等手段，诱导员工泄露账户信息或转账资金。部分案件涉及大型制造业和出口企业，损失金额巨大。专家指出，韩国企业对网络安全投入相对滞后，员工安全意识亟需提升。建议企业加强邮件安全网关部署，定期开展钓鱼演练，并建立快速响应机制。此次事件反映出网络钓鱼已成为全球企业共同面临的严峻挑战，需要多方协作共同应对。

新型鱼叉式钓鱼攻击传播VIP键盘记录器

据Cybersecurity News报道，近期出现一波新型鱼叉式钓鱼攻击，专门通过定向邮件向特定高管和关键员工传播VIP键盘记录器（VIP Keylogger）恶意软件。攻击者精心伪造邮件内容，诱导目标点击恶意附件或链接，一旦感染，攻击者可实时窃取受害者输入的敏感信息，包括密码、财务数据等。该攻击手法针对性强，危害极大。专家建议企业加强对高风险岗位员工的安全培训，采用行为分析检测异常活动，并及时更新终端防护软件，以防止恶意软件入侵。

Proofpoint伪装安全链接发动网络钓鱼攻击

据it-daily报道，近期出现一波利用Proofpoint安全品牌伪装的网络钓鱼攻击。攻击者通过伪造为“安全检测”链接的邮件，诱导用户点击并输入敏感信息。由于Proofpoint在安全领域的高知名度，许多用户降低警惕，导致攻击成功率上升。安全专家提醒，用户应核实所有安全通知的真实性，切勿随意点击邮件中的链接，即使其看似来自可信品牌。企业应加强邮件安全策略，及时更新钓鱼防护规则，以降低此类攻击带来的风险。

供稿：北京中科易安科技有限公司（公共互联网反网络钓鱼成员单位）

编辑：芦笛（公共互联网反网络钓鱼工作组）