Forwarded from Solidot
31 个 WordPress 插件被收购后植入了后门
2026-04-14 15:59 by 气球上的五星期
一个印度开发团队以 Essential Plugin 的名义开发了 31 款 WordPress 插件,插件有免费版本也有付费版本。2024 年底由于收入下降了 35-45% 开发者将所有插件出售给了一个有 SEO、加密货币和赌博背景的买家,金额是六位数。2025 年 8 月 8 日买家释出了更新,其中包含了后门,但后门一直处于休眠状态。2026 年 4 月 5-6 日后门激活开始向所有运行相关插件的网站传播恶意载荷。恶意代码从指令控制服务器获取垃圾链接、重定向和虚假页面。这些垃圾信息只会显示给 Google 的机器人 Googlebot,对网站所有者不可见。WordPress.org 插件团队次日关闭了所有插件,但 SEO 垃圾信息注入攻击仍在进行中。这不是 WordPress.org 第一次遭遇模式相似的供应链攻击——收购信任插件然后注入恶意代码,它没有机制标记或审查插件所有权转移,也没有向用户发出插件所有权变更的通知,新所有者也不会触发额外的代码审查。最新攻击有数十万安装这些插件的网站受到影响。
https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
#安全
2026-04-14 15:59 by 气球上的五星期
一个印度开发团队以 Essential Plugin 的名义开发了 31 款 WordPress 插件,插件有免费版本也有付费版本。2024 年底由于收入下降了 35-45% 开发者将所有插件出售给了一个有 SEO、加密货币和赌博背景的买家,金额是六位数。2025 年 8 月 8 日买家释出了更新,其中包含了后门,但后门一直处于休眠状态。2026 年 4 月 5-6 日后门激活开始向所有运行相关插件的网站传播恶意载荷。恶意代码从指令控制服务器获取垃圾链接、重定向和虚假页面。这些垃圾信息只会显示给 Google 的机器人 Googlebot,对网站所有者不可见。WordPress.org 插件团队次日关闭了所有插件,但 SEO 垃圾信息注入攻击仍在进行中。这不是 WordPress.org 第一次遭遇模式相似的供应链攻击——收购信任插件然后注入恶意代码,它没有机制标记或审查插件所有权转移,也没有向用户发出插件所有权变更的通知,新所有者也不会触发额外的代码审查。最新攻击有数十万安装这些插件的网站受到影响。
https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
#安全
Forwarded from 科技圈🎗在花频道📮
研究揭示未婚者患癌概率显著更高
结婚对健康到底有没有影响?一项基于美国最新大规模人口数据的研究发现,婚姻状态与多种癌症的发病风险存在显著且一致的关联,从未结婚成年人的癌症风险明显高于曾结婚者。
研究覆盖多种癌症类型、性别、种族/民族以及不同年龄组,采用当代人口水平数据进行分析。结果显示,曾结婚成年人癌症风险持续较低;从未结婚的男性癌症风险较已婚男性升高约 70%,女性升高约 85%。研究者观察到这一关联在不同癌症部位和人口亚组间存在一定差异,提示婚姻可能通过改善健康行为、提高筛查依从性和提供社会支持等途径发挥保护作用。
这一发现将婚姻状态确立为癌症风险的一个重要人口学标志,有助于公共卫生部门识别高风险人群并开展针对性干预。但作者强调这属于观察性研究,可能存在选择偏差(健康者更易结婚)等混杂因素,不能简单推断因果关系。未来仍需更多机制研究和干预试验来验证具体路径。
Cancer Research Communications
🌸 在花频道|茶馆讨论|投稿通道
结婚对健康到底有没有影响?一项基于美国最新大规模人口数据的研究发现,婚姻状态与多种癌症的发病风险存在显著且一致的关联,从未结婚成年人的癌症风险明显高于曾结婚者。
研究覆盖多种癌症类型、性别、种族/民族以及不同年龄组,采用当代人口水平数据进行分析。结果显示,曾结婚成年人癌症风险持续较低;从未结婚的男性癌症风险较已婚男性升高约 70%,女性升高约 85%。研究者观察到这一关联在不同癌症部位和人口亚组间存在一定差异,提示婚姻可能通过改善健康行为、提高筛查依从性和提供社会支持等途径发挥保护作用。
这一发现将婚姻状态确立为癌症风险的一个重要人口学标志,有助于公共卫生部门识别高风险人群并开展针对性干预。但作者强调这属于观察性研究,可能存在选择偏差(健康者更易结婚)等混杂因素,不能简单推断因果关系。未来仍需更多机制研究和干预试验来验证具体路径。
婚姻不仅是爱情,还可能和健康挂钩?看来单身狗要小心了🤔
Cancer Research Communications
🌸 在花频道|茶馆讨论|投稿通道
Forwarded from 你有一个打折需要了解 (花灌)
汇总 | R 星数据泄露
🎮 GTA Online (GTAOL)
Rockstar Games 遭 ShinyHunters 黑客组织入侵
2025 年 Q4 至 2026 年 Q1
用户活跃度
周均活跃:934 万人
日均活跃:400.35 万人
平台活跃占比
PS5(40.7%) > PS4(22.1%) > XSX/S(12.6%) > Xbox One(10.3%) > PC(7.9%)
营收规模
年化营收: 预计约 4.988 亿美元
周营收: 平均 959 万美元
日营收: 约 130 万美元
收入结构
GTA+:占每日收入的 26%
鲨鱼卡:占收入的 74%
平台表现(周贡献)
PlayStation 5:448 万美元
Xbox Series X/S:186 万美元
PlayStation 4:122 万美元
Xbox One:84 万美元
PC:26.4 万美元
地区营收占比
美国:55.7%、
英国:6.8%
德国:5.1%
法国:4.2%
加拿大:3.9%
日本:3.1%
澳大利亚:2.8%
其他国家/地区:18.4%
反作弊数据
每周平均封禁账号:12100 个
作弊来源占比:PC(91.2%) > Xbox(5.1%) >PlayStation(3.7%)
主要作弊类型
刷钱/刷金(62%) > 无敌/瞬移(21%) > 模组修改器(10%)
🤠 Red Dead Online (RDO)
2024年6月至2026年3月
用户活跃度
周均活跃: 96.98 万人
周最高活跃: 129.57 万人
新增用户
每周平均有 12.37 万名新玩家进入游戏
营收规模
年化营收: 约 2,640 万美元
周营收: 50.72 万美元
收入结构
金条付费:82%
游戏内道具/现金直接购买:15%
其它:3%
平台表现(周贡献)
PlayStation 5:19.8 万美元
Xbox Series X/S:9.7 万美元
PlayStation 4:10.2 万美元
Xbox One:7.3 万美元
PC:2.6 万美元
#Rockstar #黑客 #汇总 #NH2849
Rockstar Games 遭 ShinyHunters 黑客组织入侵
2025 年 Q4 至 2026 年 Q1
用户活跃度
周均活跃:934 万人
日均活跃:400.35 万人
平台活跃占比
PS5(40.7%) > PS4(22.1%) > XSX/S(12.6%) > Xbox One(10.3%) > PC(7.9%)
营收规模
年化营收: 预计约 4.988 亿美元
周营收: 平均 959 万美元
日营收: 约 130 万美元
收入结构
GTA+:占每日收入的 26%
鲨鱼卡:占收入的 74%
平台表现(周贡献)
PlayStation 5:448 万美元
Xbox Series X/S:186 万美元
PlayStation 4:122 万美元
Xbox One:84 万美元
PC:26.4 万美元
地区营收占比
美国:55.7%、
英国:6.8%
德国:5.1%
法国:4.2%
加拿大:3.9%
日本:3.1%
澳大利亚:2.8%
其他国家/地区:18.4%
反作弊数据
每周平均封禁账号:12100 个
作弊来源占比:PC(91.2%) > Xbox(5.1%) >PlayStation(3.7%)
主要作弊类型
刷钱/刷金(62%) > 无敌/瞬移(21%) > 模组修改器(10%)
2024年6月至2026年3月
用户活跃度
周均活跃: 96.98 万人
周最高活跃: 129.57 万人
新增用户
每周平均有 12.37 万名新玩家进入游戏
营收规模
年化营收: 约 2,640 万美元
周营收: 50.72 万美元
收入结构
金条付费:82%
游戏内道具/现金直接购买:15%
其它:3%
平台表现(周贡献)
PlayStation 5:19.8 万美元
Xbox Series X/S:9.7 万美元
PlayStation 4:10.2 万美元
Xbox One:7.3 万美元
PC:2.6 万美元
#Rockstar #黑客 #汇总 #NH2849
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from LoopDNS资讯播报
OpenSSL 4.0正式发布,显著提升加密隐私与后量子安全
2026年4月14日,广泛使用的开源加密库OpenSSL正式发布4.0重大版本更新。该版本引入了加密客户端问候(ECH)支持,通过加密初始TLS握手过程保护服务器名称指示(SNI)隐私。同时,新版本增强了后量子密码学支持,涵盖RFC 8998规范及多种混合加密算法,以应对未来计算环境的安全挑战。
作为大版本更迭,OpenSSL 4.0移除了SSLv3、SSLv2客户端问候等过时协议,并停止支持传统引擎及Darwin i386、PowerPC等老旧硬件平台。此举旨在精简代码库并提升现代架构下的安全性。此次更新标志着该工具包在隐私保护与前瞻性加密技术领域迈出重要一步。
来源:phoronix
2026年4月14日,广泛使用的开源加密库OpenSSL正式发布4.0重大版本更新。该版本引入了加密客户端问候(ECH)支持,通过加密初始TLS握手过程保护服务器名称指示(SNI)隐私。同时,新版本增强了后量子密码学支持,涵盖RFC 8998规范及多种混合加密算法,以应对未来计算环境的安全挑战。
作为大版本更迭,OpenSSL 4.0移除了SSLv3、SSLv2客户端问候等过时协议,并停止支持传统引擎及Darwin i386、PowerPC等老旧硬件平台。此举旨在精简代码库并提升现代架构下的安全性。此次更新标志着该工具包在隐私保护与前瞻性加密技术领域迈出重要一步。
来源:phoronix
Forwarded from Yummy 😋
Apple已从 macOS 中移除旧版的 Pages、Keynote 和 Numbers 应用程序
Apple刚刚在 Mac 上对 iWork 应用进行了调整:App Store 已下架旧版的 Pages、Keynote 和 Numbers,目前仅提供支持 Apple Creator Studio 的新版应用。
Pages、Keynote 和 Numbers 在 Mac 上仍然可免费下载安装。大多数功能无需订阅 Creator Studio 即可使用。
🗒 标签: #Apple #iWork
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
Apple刚刚在 Mac 上对 iWork 应用进行了调整:App Store 已下架旧版的 Pages、Keynote 和 Numbers,目前仅提供支持 Apple Creator Studio 的新版应用。
Pages、Keynote 和 Numbers 在 Mac 上仍然可免费下载安装。大多数功能无需订阅 Creator Studio 即可使用。
今年早些时候,苹果推出了 Apple Creator Studio —— 一套面向创作者的专业级应用组合。
在 iPhone 和 iPad 上,Apple 通过向现有的 App Store 应用推送更新,推出了新的 Creator Studio 功能。
而 Mac端,Apple 在 App Store 上继续提供旧版 Mac iWork 应用,并另行推出了包含 Creator Studio 功能的全新独立 iWork 版本。
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Yummy 😋
108 个恶意 Chrome 扩展窃取了用户的 Google 和 Telegram 数据,影响约 2 万名用户
根据安全公司 Socket 的说法,这些扩展以五个不同的发布者名义发布——Yana Project、GameGen、SideGames、Rodeo Games 和 InterAlt——在 Chrome 网上应用店累计约有 2 万次安装。
安全研究员 Kush Pandya 在分析中表示:“这 108 个扩展都会把被窃取的凭证、用户身份信息和浏览数据发送到同一个服务器(144.126.135[.]238)。”
其中 54 个插件通过 OAuth2 窃取用户的 Google 帐户身份,45 个扩展带有一个通用后门——浏览器一启动就会打开任意网址,其余扩展则执行多种不同的恶意行为:
为了看起来更可信,这些被发现的扩展伪装成 Telegram 侧栏客户端、老虎机和基诺游戏、YouTube 与 TikTok 增强器、文本翻译工具以及各种页面实用程序。它们宣传的功能多种多样,目的是吸引更广的用户群,但实际上都使用同一个后端。
但用户并不知情,后台的恶意代码会窃取会话信息、注入任意脚本并打开攻击者指定的网页。
以下是部分已发现的扩展:
🗒 标签: #Chrome #Google #Telegram
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
根据安全公司 Socket 的说法,这些扩展以五个不同的发布者名义发布——Yana Project、GameGen、SideGames、Rodeo Games 和 InterAlt——在 Chrome 网上应用店累计约有 2 万次安装。
安全研究员 Kush Pandya 在分析中表示:“这 108 个扩展都会把被窃取的凭证、用户身份信息和浏览数据发送到同一个服务器(144.126.135[.]238)。”
其中 54 个插件通过 OAuth2 窃取用户的 Google 帐户身份,45 个扩展带有一个通用后门——浏览器一启动就会打开任意网址,其余扩展则执行多种不同的恶意行为:
◦ 每隔 15 秒窃取一次 Telegram 网页版会话数据
◦ 移除 YouTube 和 TikTok 的安全响应头(例如内容安全策略、X-Frame-Options 和 CORS),然后在页面中插入赌博浮层和广告
◦ 在用户访问的所有页面中注入内容脚本
◦ 将所有翻译请求通过威胁行为者的服务器进行代理转发
为了看起来更可信,这些被发现的扩展伪装成 Telegram 侧栏客户端、老虎机和基诺游戏、YouTube 与 TikTok 增强器、文本翻译工具以及各种页面实用程序。它们宣传的功能多种多样,目的是吸引更广的用户群,但实际上都使用同一个后端。
但用户并不知情,后台的恶意代码会窃取会话信息、注入任意脚本并打开攻击者指定的网页。
以下是部分已发现的扩展:
• Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa):扩展会窃取 Telegram Web 使用的 user_auth 令牌并将数据传送到远程服务器。它还能用攻击者提供的会话数据覆盖浏览器的 localStorage 并强制加载消息应用,从而把受害者当前的 Telegram 会话替换为攻击者指定的会话。
• Web Client for Telegram - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno):删除 Telegram 的安全头信息并注入恶意脚本,从而窃取用户的 Telegram 会话信息。
• Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj):会在受害者首次点击“登录”按钮时窃取其 Google 帐户信息,获取的内容包括电子邮件地址、姓名、头像链接和 Google 帐户 ID 等个人资料信息。
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from 风向旗参考快讯
美财政部官员力推接入Anthropic新模型
美国财政部的技术团队正寻求获取Anthropic人工智能模型Mythos的访问权限,以便寻找银行业中的潜在漏洞。知情人士透露,美国财政部首席信息官Sam Corcos正争取最快在本周获得该模型的使用权限。目前Anthropic仅向少数机构提供该模型。知情人士补充说道,Corcos已向财政部网络安全团队介绍了这项技术,并指示团队为强大AI系统可能带来的潜在威胁提前做好准备。上周,美国财政部长贝森特与美联储主席鲍威尔紧急召集华尔街高管开会,讨论Mythos可能引发的新一轮网络安全风险。Anthropic警告称,如果企业未对其系统进行充分测试并建立防御机制,该模型可能被用于发动网络攻击。
—— 财联社、彭博社
美国财政部的技术团队正寻求获取Anthropic人工智能模型Mythos的访问权限,以便寻找银行业中的潜在漏洞。知情人士透露,美国财政部首席信息官Sam Corcos正争取最快在本周获得该模型的使用权限。目前Anthropic仅向少数机构提供该模型。知情人士补充说道,Corcos已向财政部网络安全团队介绍了这项技术,并指示团队为强大AI系统可能带来的潜在威胁提前做好准备。上周,美国财政部长贝森特与美联储主席鲍威尔紧急召集华尔街高管开会,讨论Mythos可能引发的新一轮网络安全风险。Anthropic警告称,如果企业未对其系统进行充分测试并建立防御机制,该模型可能被用于发动网络攻击。
—— 财联社、彭博社
Forwarded from 风向旗参考快讯
英伟达发布全球首个开源量子人工智能模型
周二,英伟达宣布其开源模型家族迎来新成员——“伊辛” (Ising)量子人工智能模型,用于加速量子处理器的开发。简要来说,英伟达的新模型对应将量子计算器转变为可靠计算机的两大痛点:量子处理器校准和量子纠错。据英伟达介绍,这一套模型包括“伊辛校准”视觉语言模型,快速解读并响应来自量子处理器的测量结果,使得AI代理能够持续自动化校准,并能把所需时间从数天缩短到数小时。另外还有两个3D卷积神经网络解码模型变体,分别正对速度或精度进行优化,用于量子纠错的实时解码。比起开源行业标准pyMatching,英伟达模型的运行速度最高提升约2.5倍,解码准确率最高提升约3倍。
—— 财联社
周二,英伟达宣布其开源模型家族迎来新成员——“伊辛” (Ising)量子人工智能模型,用于加速量子处理器的开发。简要来说,英伟达的新模型对应将量子计算器转变为可靠计算机的两大痛点:量子处理器校准和量子纠错。据英伟达介绍,这一套模型包括“伊辛校准”视觉语言模型,快速解读并响应来自量子处理器的测量结果,使得AI代理能够持续自动化校准,并能把所需时间从数天缩短到数小时。另外还有两个3D卷积神经网络解码模型变体,分别正对速度或精度进行优化,用于量子纠错的实时解码。比起开源行业标准pyMatching,英伟达模型的运行速度最高提升约2.5倍,解码准确率最高提升约3倍。
—— 财联社
Forwarded from 科技圈🎗在花频道📮
最新研究警告称,人工智能的使用似乎会对人类认知产生“温水煮青蛙”效应
一项由英美多所顶尖高校联合开展的最新研究表明,在写作、编程和数学等推理密集型任务中过度依赖 AI,会迅速损害使用者的智力水平及面对困难时的坚持意愿。实验显示,参与者仅使用 AI 辅助解决问题 10 分钟后,一旦失去支持,其表现便会显著变差,且直接放弃任务的频率远高于从未接触过 AI 的对照组。
研究人员将此现象比作“温水煮青蛙”。尽管 AI 提升了短期效率,却是以沉重的认知成本为代价,悄无声息地削弱了长期学习所需的动力与韧性。此外,交互方式决定了负面影响的程度:直接索要答案的用户受损最重,而仅将其用于获取提示或澄清问题的用户表现相对较好。团队警告,若大规模将认知劳动外包,恐将导致新一代学习者丧失独立思考的信心,进而稀释整个人类的创新力。
Futurism
🌸 在花频道|茶馆讨论|投稿通道
一项由英美多所顶尖高校联合开展的最新研究表明,在写作、编程和数学等推理密集型任务中过度依赖 AI,会迅速损害使用者的智力水平及面对困难时的坚持意愿。实验显示,参与者仅使用 AI 辅助解决问题 10 分钟后,一旦失去支持,其表现便会显著变差,且直接放弃任务的频率远高于从未接触过 AI 的对照组。
研究人员将此现象比作“温水煮青蛙”。尽管 AI 提升了短期效率,却是以沉重的认知成本为代价,悄无声息地削弱了长期学习所需的动力与韧性。此外,交互方式决定了负面影响的程度:直接索要答案的用户受损最重,而仅将其用于获取提示或澄清问题的用户表现相对较好。团队警告,若大规模将认知劳动外包,恐将导致新一代学习者丧失独立思考的信心,进而稀释整个人类的创新力。
Futurism
🌸 在花频道|茶馆讨论|投稿通道