网络空间安全动态（202538期）

      编者按：网安动向热讯，本期有八点值得关注：一是工信部发布《关于全面推广增值电信业务经营许可电子证照应用的通知》；二是工信部就《关于组织开展卫星物联网业务商用试验的通知（征求意见稿）》公开征求意见；三是特朗普宣称对所有中国输美商品加征100%关税，并对“所有关键软件”实施出口管制；四是荷兰政府以所谓“对荷兰和欧洲的安全构成风险”为由，对中资半导体公司实施紧急措施；五是美NIST发布更新版密码创建指南；六是特朗普决定不提名威廉·哈特曼为美网络司令部和国家安全局的下一任领导人；七是欧盟于10月12日正式启用新数字边境系统；八是乌克兰议会一读通过组建乌军网络部队法案。

      数据前沿快讯，本期有四点建议关注：一是工信部修订多项汽车领域审查要求，明确网络安全数据安全；二是TikTok将在巴西建立首个数据中心；三是澳大利亚监管机构向比亚迪、极氪等5家中国车企发出合规警告；四是美军拟组建数据部队，以“数据弹药”强化联合作战能力。

     网安事件聚焦，本期有两方面内容建议关注：一是多种形式引发的网络安全事件频发，对群体和机构造成严重影响，需进一步加强管控和防护。本期介绍：官方通报违法违规涉军自媒体账号典型案例；俄罗斯机密电子战系统“克拉苏哈”遭黑客组织攻击；攻击者滥用NPM基础设施，对工业与电子企业发起钓鱼攻击；黑客利用Gladinet文件共享软件中的零日漏洞发起攻击；法国Ricous水电枢纽系统遭黑客组织攻击；微软公司停止对Windows10的系统更新和技术支持。二是网络安全企业和航空运输领域成数据泄露重灾区。本期介绍：企业软件巨头红帽被曝约2.8万个开发库近570GB数据泄露；越南航空730万条客户个人数据遭泄露；澳洲航空确认570万客户个人数据遭泄露。

      网安风险警示，本期有五点建议关注：一是工信部：关于防范BlackLock勒索病毒的风险提示；二是开源内存数据库Redis存在Lua释放后使用漏洞；三是拖放式用户界面Flowise存在任意文件读写漏洞；四是用友U8Cloud pubsmsservlet 存在远程代码执行漏洞；五是人工智能辅助编码工具GitHub Copilot Chat中存在高危漏洞。

      一、网安动向热讯

      （一）工信部发布《关于全面推广增值电信业务经营许可电子证照应用的通知》

      10月11日，工业和信息化部发布《关于全面推广增值电信业务经营许可电子证照应用的通知》，明确电信管理机构统一制作发放电子证照，并依企业意愿同步提供纸质证照。电子证照信息和样式与纸质证照保持一致，并标注验证二维码，确保电子证照可追溯查验。电子证照与纸质证照具有同等法律效力。电信管理机构应积极推动电子证照信息共享与融合使用，鼓励引导基础电信企业、互联网平台企业与增值电信企业合作时，在资源接入、电商平台入驻、APP上架等场景支持使用电子证照。电信管理机构应不断丰富完善电子证照“一键亮证”“扫码验证”等功能应用，实现电脑端和手机端同步“亮证”，加强电子证照制作、发放、存储、使用等环节的安全管理，严格落实网络和数据安全要求。（信息来源：人民邮电报）

      （二）工信部就《关于组织开展卫星物联网业务商用试验的通知（征求意见稿）》公开征求意见

      10月12日，工业和信息化部就《关于组织开展卫星物联网业务商用试验的通知（征求意见稿）》公开征求意见，提出将通过开展卫星物联网业务商用试验，丰富卫星通信市场供给，激发市场主体活力，提升行业服务能力，建立安全监管体系，形成可复制可推广的经验和模式，支撑商业航天、低空经济等新兴产业安全健康发展，服务构建新发展格局。卫星物联网业务商用试验对象为符合条件的企业，企业通过构建卫星物联网星座，建立客服系统，以及计费、营账等业务支撑系统，提供卫星物联网服务。意见反馈截止日期为11月10日。（信息来源：工信部网站）

     （三）特朗普宣称对所有中国输美商品加征100%关税，并对“所有关键软件”实施出口管制

      10月10日，美总统特朗普在其社交平台发文：“从2025年11月1日开始（或根据中方后续采取的任何行动或变化可能提前），美国将在现有已征关税基础上，对中国加征100%关税,将对所有关键软件实施出口管制”。此次关键软件出口管制涵盖电子设计自动化、计算机辅助设计、生产管理软件等核心技术领域，涉及半导体、航空航天等行业。针对特朗普一系列强硬表态，中国驻华盛顿大使馆尚未立即回应置评请求。美众议院中国问题特设委员会主席约翰·穆勒纳尔表示，中方对稀土采取新的限制措施是针对美国的“经济宣战”。美众议院外交事务委员会民主党人则将中国收紧稀土出口的责任归咎于特朗普此前的关税政策。（信息来源：安全内参）

      （四）荷兰政府以所谓“对荷兰和欧洲的安全构成风险”为由，对中资半导体公司实施紧急措施

      10月13日消息，荷兰政府以所谓“对荷兰和欧洲的安全构成风险”为由，对中资半导体公司安世半导体实施一系列罕见紧急措施：冻结其一年内全球30个实体的所有资产、知识产权、运营和人事变动，并强制更换其中方CEO。荷兰经济事务部称“安世半导体严重的治理缺陷，使荷兰和欧洲关键技术知识和能力的连续性和保障受到威胁，特别是在紧急情况下汽车和消费电子产品中使用芯片的可用性”。中国外交部对此进行回应：中方一贯反对泛化国家安全概念、针对特定国家企业采取歧视性做法。有关国家应切实遵守市场原则，不要将经贸问题政治化。中方维护自身正当合法权益的决心坚定不移。（信息来源:北京日报）

      （五）美NIST发布更新版密码创建指南

      10月14日消息，美国家标准与技术研究院（NIST）发布更新版密码创建指南。新指南取消了包括特殊字符、数字和大写字母在内的“复杂性”要求，并转向将密码长度放在首位的政策。单次认证建议最少15个字符，多因素认证建议最少8个字符，最多可设置64个字符。定期密码重置也将被废除，并且仅在发生安全漏洞时才会执行重置。新指南还呼吁引入密码“阻止列表”，其中包括过去泄露的数据和字典单词。（信息来源：安情视界）

     （六）特朗普决定不提名威廉·哈特曼为美网络司令部和国家安全局的下一任领导人

      10月11日消息，特朗普决定不提名陆军中将威廉·哈特曼为美网络司令部和国家安全局的下一任领导人。哈特曼自今年4月以来一直以代理身份领导这两个实体，最近被告知这一决定，并于本周提交了退休文件。知情人士称，已被预期数周的提名可能会遭到特朗普政府内部人士的额外抵制，他们希望结束美网络司令部和国家安全局的“双帽”领导安排，而让具有双重经验的领导者永久担任该职位将使切断关系变得更加困难。哈特曼此前曾担任美精英网络国家任务部队负责人。美白宫、网络司令部和国家安全局未回应置评请求。（信息来源：TheRecord网）

      （七）欧盟于10月12日正式启用新数字边境系统

      10月12日，欧盟新数字边境系统——出入境系统正式运行，成员国将开始用电子方式登记短期过境欧盟外部边界的非欧盟公民，以加强边境管理和打击身份欺诈。该系统初期在申根区分阶段启用，后续逐步覆盖所有欧盟成员国的外部边境，预计到2026年4月10日全面覆盖所有外部边境检查站。该系统核心功能包括：一是生物识别数据采集，旅客需扫描护照、录入指纹和面部图像，取代传统护照盖章记录。二是逾期居留监控，系统将跟踪旅客停留时间，自动识别逾期滞留者。三是身份验证，通过指纹比对和面部识别减少证件欺诈风险。（信息来源：欧盟网站）

      （八）乌克兰议会一读通过组建乌军网络部队法案

      10月12日消息，乌议员亚罗斯拉夫·热列兹尼亚克表示，乌克兰最高拉达（议会）当天以255票赞成一读通过了有关组建乌军网络部队的法案。该提案若在二读通过并经总统签署，将把负责进攻性与防御性网络行动的能力，从分散的情报与防护部门整合进军队序列，在指挥链、法律地位与人力配置上形成新的常备机构。法案同时提出设立“网络预备役”机制，允许民间技术专家定期受召支援，从而缓解专业人才短缺问题，并在2025年为初期组建预留一定财政拨款。法案主张，网络部队将在武装部队总司令直接领导下运行，政治上受总统总体协调，任务覆盖从网络防御、威胁情报搜集到对敌方基础设施进行破坏性或扰乱性行动的执行。（信息来源：央视新闻）

     （九）北约合作网络防御卓越中心部署专用5G网络增强网络防御

      10月13日消息，北约合作网络防御卓越中心和甲骨文等合作，通过设计和部署专用5G网络，保障北约研究、兵棋推演和开发计划，以实现网络防御演习中的高性能连接，保护关键基础设施免受外部威胁。甲骨文5G安全边缘保护代理作为保护北约成员网络中5G漫游通信的可信解决方案，能帮助北约保护敏感的战场和研究数据，并在盟军之间提供无缝、安全的连接。（信息来源：SmallBusinessTrends网）

      二、数据前沿快讯

      （十）工信部修订多项汽车领域审查要求，明确网络安全数据安全

      10月15日消息，工业和信息化部修订《道路机动车辆生产企业准入审查要求(征求意见稿)》《道路机动车辆产品准入审查要求(征求意见稿)》《关于修改的决定(征求意见稿)》，现向社会公开征求意见，意见反馈截止日期为2025年11月13日前。从具体修订内容来看，《企业审查要求》全面提高了企业智能化、网联化相关能力要求和生产准入门槛，明确网络安全、数据安全通用要求以及相关企业软件升级、组合驾驶辅助、自动驾驶等能力要求，切实强化企业产品安全质量和售后服务保障能力。《产品审查要求》则通过引入可靠性等涉及车辆质量、安全的相关标准和要求，进一步筑牢车辆安全底线，促进汽车行业健康有序发展。充分结合现行标准、相关部门管理文件要求以及行业合理建议对相关条款进行修订，规范和明确审查要求，提升审查工作精准度与实效性。（信息来源:工信微报）

      （十一）TikTok将在巴西建立首个数据中心

      10月14日消息，TikTok将在巴西建立首个数据中心，预计将带来约91.1亿美元的投资。该数据中心由TikTok母公司字节跳动与巴西本土可再生能源领军企业Casa dos Ventos合作运营，将改变目前TikTok拉美地区数据主要依赖境外处理现状，在服务巴西市场的同时辐射整个拉丁美洲的业务枢纽。巴西政府表示，该国丰富的可再生能源资源有利于吸引数据中心投资，并通过总统卢拉签署的行政命令为此类项目提供联邦税收减免。（信息来源：通信头条）

     （十二）澳大利亚监管机构向比亚迪、极氪等5家中国车企发出合规警告

      10月11日消息，澳大利亚汽车服务与维修监管机构（AASRA）向比亚迪、极氪、小鹏、Smart和零跑5家中国车企发出合规警告，指控上述车企涉嫌违反澳大利亚《机动车服务与维修信息制度（MVIS）》，存在诊断软件更新延迟、关键技术参数未完整披露、订阅服务定价高于行业基准三类违规行为。AASRA强调，此类违规行为通过构建技术信息壁垒，违背了MVIS打破售后垄断的立法初衷。此次争端的核心是维修数据开放权，澳大利亚法规要求车企向独立维修商提供与授权经销商同等的维修技术信息。若指控成立，每家车企可能面临最高1000万澳元的罚款。（信息来源：法治日报）

      （十三）美军拟组建数据部队，以“数据弹药”强化联合作战能力

      10月15日消息，美陆军G-6副参谋长称，伴随“下一代指挥控制”系统加速推进，数据已成为现代战场新型“弹药”，美军筹划组建专职部队，统筹管理和整合全军数据。该部队将整合美军从国内外驻地到战术前沿的所有数据，核心职能包含四项：一是推进数据格式标准化，保障兼容性；二是运用人工智能与机器学习挖掘数据价值，提炼关键信息；三是实现美军以数据为中心的作战，不受部署地点限制；四是协调美军联合部队及多国部队数据，为战区联合作战指挥官提供支持。该部队成立后，将深度联动“下一代指挥控制”系统的应用层与数据层，使其成为数据流转交互的“监督者”与“协调者”。（信息来源:国防科技要闻）

     三、网安事件聚焦

      （十四）官方通报违法违规涉军自媒体账号典型案例

      10月15日消息，一些自媒体账号违反《互联网军事信息传播管理办法》，违规发布涉军信息，误导公众认知，损害军队形象，社会影响恶劣。现通报有关典型案例。一是消费退役军人身份，以退役人员身份，发布服役期间拍摄的日常训练、演训任务影像；借退役军人身份吸粉引流，违规着军服拍摄短视频、进行网络直播，诱导网民充值打赏。二是兜售涉密敏感资料，售卖军事行动相关视频素材和限军队内部发行书籍，借涉密敏感军事资料违规牟利。三是歪曲解读政策规定，长期发帖炒作涉军校招生、转业安置、待遇保障、文职招考等有关政策，唱衰军事职业前景，并有偿提供相关咨询指导服务。四是抹黑军队军人形象，编撰大量抹黑军队军人形象文章，污名化军婚军恋，掺杂披露训练任务细节；长期利用人工智能工具，制作发布丑化军队形象的图像视频。（信息来源:网信中国）

      （十五）俄罗斯机密电子战系统“克拉苏哈”遭黑客组织攻击

      10月13日消息，黑客组织“黑镜”公布了一批新截获的内部文件。据称这些文件与俄罗斯国有防务集团俄罗斯国家技术集团相关，其中包含从未公开过的1RL257“克拉苏哈-4”（Krasukha-4）电子战系统组装及测试过程照片，展示了该系统的组件组装、内部硬件结构及测试各阶段。该系统的内部布局与作战系统一直处于保密状态，此次泄密可能使西方分析人士及情报机构得以更精准地评估“克拉苏哈-4”系统的设计原理、模块化结构与部署逻辑。此次泄密是“黑镜”黑客组织针对俄罗斯防务承包商的系列行动之一，该组织此前已曝光过与无人机制造、雷达出口及坦克现代化项目相关的文件。（信息来源：安全内参）

      （十六）攻击者滥用NPM基础设施，对工业与电子企业发起钓鱼攻击

      10月14日消息，研究人员发现攻击者滥用合法的正滥用合法的NPM（Node.js包管理平台）基础设施，对工业与电子企业发起钓鱼攻击，此次攻击被命名为“Beamglea”，其恶意包并不执行代码，而是滥用合法的内容分发网络服务向用户推送伪装成‘采购订单’和‘项目文档’等定制化内容的钓鱼页面，恶意包的攻击目标覆盖能源、工业设备及科技领域约135家企业。目前，攻击者已使用Python工具实现了攻击活动的自动化，无需手动操作，即可创建175个针对不同企业的独特恶意包。此次攻击主要集中在西欧国家，同时在北欧及亚太地区也发现了部分目标企业。（信息来源：HackerNews网）

     （十七）黑客利用Gladinet文件共享软件中的零日漏洞发起攻击

      10月13日消息，托管式网络安全平台Huntress的研究人员发现黑客利用Gladinet公司旗下CentreStack与Triofox产品中的零日漏洞发起攻击，该漏洞可使本地攻击者在无需身份验证的情况下，访问系统文件。CentreStack与Triofox是Gladinet推出的企业级文件共享与远程访问解决方案，已被来自49个国家的数千家企业采用。目前已有至少三家企业成为攻击目标。Gladinet确认已知晓此漏洞，并表示已向受攻击企业客户提供缓解方案。（信息来源：HackerNews网）

      （十八）法国Ricous水电枢纽系统遭黑客组织攻击

      10月13日消息，法国Ricous水电枢纽系统遭黑客组织“Z-Pentest Alliance”攻击。该组织声称已获得完整的管理员访问权限，可直接控制包括水泵、阀门、净化系统及电加热装置的核心设备，手动干预调节过程，记录设备运行时间参数和模式，并发布演示视频。目前法国政府及相关能源部门尚未就此事进行公开回应。（信息来源：网空闲话）

      （十九）微软公司停止对Windows10的系统更新和技术支持

      10月14日，美国微软公司即日起停止对Windows10系统提供安全更新和技术支持，这意味着大量用户的电脑可能更容易遭到网络攻击。微软表示，虽然安装Windows10系统的设备还可继续运行，但将不再接受定期的安全更新，同时部分应用程序的功能可能会减弱。微软建议用户尽快升级到Windows11系统，由于部分旧电脑并不符合运行新系统的硬件要求，此类用户只能选择更换设备，或者自费注册微软的扩展安全更新程序，以帮助降低恶意软件攻击和网络安全威胁的风险。（信息来源：央视财经）

      （二十）企业软件巨头红帽被曝约2.8万个开发库近570GB数据泄露

      10月10日消息，企业软件巨头红帽数据遭泄露，涉及570GB内部开发库数据，涵盖28000个内部开发库。黑客组织ShinyHunters声称已窃取约800份客户参与报告，包含客户网络架构、基础设施和平台等敏感信息。红帽确认涉事的GitLab实例仅用于咨询项目，但未公开回应勒索要求。黑客组织在泄露平台上为红帽设定了赎金谈判截止日期，否则将公布所有被盗数据。遭泄露的样本涉及多家大型企业与机构，包括加拿大央行、美国运通、防务部和法国SFR公司等。（信息来源：IT之家）

      （二十一）越南航空730万条客户个人数据遭泄露

      10月14日消息，黑客组织Scattered LAPSUS$ Hunters公开泄露超2300万条记录，其中包括730万条越南航空客户的个人数据，包括客户姓名、出生日期、电话号码、电子邮箱地址和居住地址等。网络安全专家警告称，攻击者可能利用此类数据冒充越南航空实施针对性的诈骗，建议公众提高警惕，防范与此次事件相关的诈骗电话和钓鱼邮件。越南国家计算机应急响应中心证实，越南航空的客户数据已在黑客论坛上被出售，目前正积极调查此事件。（信息来源:安全内参）

      （二十二）澳洲航空确认570万客户个人数据遭泄露

      10月13日消息，澳大利亚澳洲航空公司确认570万名客户个人数据在年初的一次网络攻击中被泄露，其中约280万客户的姓名、电子邮件地址和澳航常旅客号码被泄露，约170万客户数据涉及出生日期、电话号码或家庭地址等，但所有客户信用卡信息、个人财务信息及护照信息均未受影响。澳航表示，已通知所有受影响客户被窃数据类型，并实施禁令防止他人访问、查看、使用、传输或发布被窃数据，敦促客户对任何声称来自澳航的信息保持警惕。（信息来源：央视财经）

     四、网安风险警示

      （二十三）工信部：关于防范BlackLock勒索病毒的风险提示

      10月11日消息，工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）监测发现跨平台的勒索病毒BlackLock通过“加密数据+威胁泄露”的双重勒索模式，对政府、教育、制造等多行业用户开展攻击，可能导致数据泄露、业务中断等风险。BlackLock是一种采用Go语言开发的勒索病毒，一般通过钓鱼攻击、漏洞利用等方式渗透目标系统，可攻击Windows、Linux及VMware ESXi环境，覆盖企业服务器、虚拟化平台及网络共享设备。建议用户及时更新软件，防范网络攻击风险。（信息来源:CSTIS）

      （二十四）开源内存数据库Redis存在Lua释放后使用漏洞

      10月11日消息，开源内存数据库Redis存在Lua释放后使用漏洞CVE-2025-49844（CVSS评分10.0），影响所有支持Lua脚本功能的Redis版本。该漏洞源于Redis嵌入式Lua解释器的内存管理缺陷，攻击者可利用已释放的内存指针在Redis服务器进程中执行任意代码，危及所有存储数据，并可能横向渗透至相连系统。官方已修复该漏洞，建议用户升级至最新版本。（信息来源：SecurityOnline网）

      （二十五）拖放式用户界面Flowise存在任意文件读写漏洞

      10月13日消息，拖放式用户界面Flowise存在任意文件读写漏洞CVE-2025-61913（CVSS评分9.9），由于3.0.8之前的版本中，Flowise中的WriteFileTool和ReadFileTool未限制文件路径访问，使得经过身份验证的攻击者能够利用此漏洞在文件系统的任何路径中读写任意文件，可能导致远程命令执行，从而控制整个系统。Flowise用于构建定制的大型语言模型流程。目前官方已发布安全补丁，建议用户及时更新至最新版本。（信息来源：中成信息）

     （二十六）用友U8Cloud pubsmsservlet 存在远程代码执行漏洞

      10月14日消息，奇安信CERT监测到官方修复用友U8Cloud pubsmsservlet远程代码执行漏洞QVD-2025-39606（CVSS评分9.8）。该漏洞存在于U8Cloud所有版本提供的pubsmsservlet接口，服务端对接收的数据进行反序列化操作时未对数据进行有效的校验，导致攻击者可发送精心构造的恶意序列化对象，在服务端执行任意代码，从而获取管理员权限并完全控制服务器。鉴于该漏洞影响范围较大，建议用户尽快做好自查及防护。（信息来源：奇安信CERT）

     （二十七）人工智能辅助编码工具GitHub Copilot Chat中存在高危漏洞

      10月11日消息，人工智能辅助编码工具GitHub Copilot Chat中存在高危漏洞（CVSS评分9.6）。该漏洞源于对GitHub Copilot上下文感知特性的利用。攻击者可利用GitHub的“隐形注释”功能将恶意提示直接嵌入拉取请求描述中，获得对受害者Copilot实例的显著控制权，包括建议恶意代码或链接的能力，从而窃取私有仓库源代码和敏感信息。目前GitHub已发布修复补丁，建议用户及时更新。（信息来源：FreeBuf网）