---

前言：一次头脑风暴，两则警世案例

在信息技术高速迭代的今天，安全隐患往往潜伏在我们最熟悉的工具之中，潜移默化地侵蚀企业的根基。若想让全体职工真正认识到“安全不只是IT部门的事”，必须以鲜活且震撼的案例点燃警觉之火。以下两则最近曝光的安全事件，正是最好的警示教材。

案例一：VS Code 黑色主题背后的高级信息窃取（Bitcoin Black 与 Codo AI）

2025 年12 月，Koi Security 研究团队披露了两款恶意 Visual Studio Code 扩展——“Bitcoin Black” 与 “Codo AI”。它们伪装成“加密主题”和“AI 编程助手”，在 VS Code Marketplace 正式上架。用户只需一次点击，即会触发隐藏的 PowerShell 脚本或批处理文件，下载并执行一个经过 DLL 劫持的 Lightshot 截图工具，随后植入自研的 DLL，完成信息窃取。

窃取范围包括剪贴板内容、已安装程序列表、运行进程、桌面截图、Wi‑Fi 密码、乃至浏览器会话数据（Cookies、Session ID）。更令人担忧的是，攻击者使用了互斥锁（mutex）防止同一机器多实例运行，极大提升了隐蔽性。

技术亮点：

1. 激活事件（activation events）与 PowerShell 组合，突破了传统主题扩展的权限边界。
2. DLL 劫持：将合法 Lightshot 可执行文件与恶意 DLL 捆绑，使防病毒软件难以区分良恶。
3. 分层下载：先下载密码保护的 ZIP，再通过多种回退机制解压，提升成功率。
4. 标记文件控制执行：通过本地 marker file 防止重复执行，降低异常行为触发率。

案例二：npm 包供应链危机——“ShadyPanda”五年潜伏的 Chrome 与 Edge 大规模感染

同样在 2025 年，安全社区披露了另一场跨平台的大规模供应链攻击——代号 ShadyPanda。该组织通过在 npm（Node Package Manager）生态中投放恶意 JavaScript 包，借助这些包的依赖关系链，将后门代码注入数百万 Web 开发者的项目。更为惊人的是，这些后门在构建阶段会自动生成 Chrome/Edge 浏览器扩展，利用浏览器的扩展机制窃取密码、浏览历史以及同步的登录状态。

攻击链概览：

• 攻击者在 npm 注册多个看似无害的工具库（如 build-helper, css-minifier 等），每个库的下载量均在千次以上。
• 通过 “typosquatting” 方式，诱导开发者误下载这些库。
• 库内部的 postinstall 脚本执行恶意代码，向攻击者 C2 服务器发送系统信息并下载 Chrome 扩展的安装包。
• 该扩展利用 Chrome Web Store 的 sideload 机制，悄无声息地植入用户浏览器。
• 最终窃取的凭证被用于对企业内部系统的横向渗透，导致多个 SaaS 账户被劫持。

教训提炼：

1. 供应链安全的盲区：开发者往往只关注代码质量，而忽视了依赖的安全审计。
2. 后门的多阶段激活：从 npm 包触发到浏览器扩展完成，全链路隐蔽且持久。
3. 跨平台威胁：一次供应链漏洞，可能导致桌面端、浏览器端、云端同步受害。

---

深度剖析：恶意扩展与供应链攻击的共通特征

维度	Bitcoin Black / Codo AI	ShadyPanda
隐蔽手段	DLL 劫持、PowerShell 脚本、标记文件防重放	npm postinstall 脚本、浏览器 sideload
攻击入口	开发者工具 Marketplace（官方渠道）	公共 npm 仓库（开源生态）
渗透深度	本地系统信息、网络凭证、浏览器会话	本地文件、浏览器扩展、云端 SaaS 账户
C2 通信	HTTP 明文下载 + 加密上传	HTTPS 加密上传 + 多域名轮转
防御难点	正版工具混入、脚本执行白名单失效	依赖链递归审计、CI/CD 流水线安全

共同点：

• 社会工程学 + 技术伪装：均利用开发者的信任（官方 Marketplace、常用 npm 包）进行“低门槛”植入。
• 多阶段下载：从轻量脚本/配置文件，逐步拉取更大、更危险的载荷，降低首次下载被拦截的概率。
• 持久化手法：通过本地标记文件、浏览器扩展的持久化机制，确保一次感染可以长期生效。
• 信息窃取目标一致：密码、会话、系统信息——直接为进一步渗透提供凭证和情报。

防御思路：

1. 最小化信任：对所有第三方插件、库实行“零信任”审计，采用签名验证或手动审查。
2. 行为监控：部署基于行为的 EDR（Endpoint Detection and Response）或 XDR（Extended Detection and Response），重点监控 PowerShell、批处理、DLL 加载路径异常。
3. 供应链安全加固：在 CI/CD 流水线上加入 SCA（Software Composition Analysis）工具，对依赖的每一个 npm 包进行 CVE、签名、发布者信誉检查。
4. 安全意识渗透：通过定期的安全培训、红蓝演练，让每位职工都能识别“伪装良好”的恶意资产。

---

自动化、数字化、数据化的融合时代——安全意识的必然升级

过去的“防火墙 + 杀毒软件”已无法抵御今天的 自动化攻击。攻击者利用 CI/CD 自动化、容器编排、云原生服务 实现一键式横向渗透。与此同时，企业内部也在加速 数字化转型：大量业务数据被集中到云端，研发团队通过 DevSecOps 方法将安全嵌入开发全流程。面对这种“双刃剑”，信息安全意识 成为企业最薄弱却不可或缺的环节。

1. 自动化攻击的特点

• 脚本化、批量化：利用 PowerShell、Python、Bash 脚本一次性感染上千台机器。
• 快速迭代：通过 GitOps 实现恶意代码的快速推送和版本回滚。
• 隐蔽持久：使用进程注入、DLL 劫持等技术，使得检测窗口缩小至毫秒级。

2. 数字化业务的安全需求

• 数据完整性：所有业务关键数据（如订单、客户信息）必须在传输、存储全链路加密，并具备防篡改审计。
• 访问控制：采用基于属性的访问控制（ABAC）与零信任网络访问（ZTNA），确保最小权限原则。
• 合规审计：在 NIS2、DORA、AI Act 等新法规环境下，企业需实时生成合规报告。

3. 数据化运维的风险点

• 日志聚合平台：若日志收集端点被植入恶意插件，攻击者可以伪造日志，逃避监控。
• 监控告警：告警规则如果依赖硬编码阈值，易被攻击者调低阈值，隐藏异常。
• AI 辅助运维：AI 模型若被误导注入后门代码，可能在自动修复时把漏洞“自动修好”。

---

号召全员参与：信息安全意识培训即将开启

一、培训目标

• 认知层面：让每位职工了解恶意插件、供应链攻击的真实案例，掌握基本的威胁识别方法。
• 技能层面：教授安全工具（如 VS Code 安全插件、SCA 检测、EDR 基础使用）的正确使用方法。
• 行为层面：形成安全的工作习惯，例如：下载插件前查验证书、审查 npm 包的发布者、定期更换密码。

二、培训对象

• 全体研发工程师、运维工程师、测试人员、产品经理以及任何使用公司开发环境的支持人员。
• 非技术部门（HR、财务、行政）同样需要了解社交工程学的常见手法，防止钓鱼邮件、伪装通话等威胁。

三、培训方式

方式	内容	时长	适用人群
线上直播	威胁情报概览、案例剖析、现场答疑	2 小时	全员
小组实战	现场演练插件审计、npm 包安全检查、EDR 触发应对	3 小时	技术团队
微课短视频	每日 5 分钟安全小技巧（如安全下载路径检查）	持续更新	所有员工
模拟钓鱼	随机发送钓鱼邮件，事后统计并提供反馈	–	全体
测评与奖励	完成测评即获“安全先锋”徽章，优秀者可获公司内部公开表彰	–	参与者

四、培训收益

• 降低风险：据 Gartner 研究显示，信息安全培训每提升 10% 的安全意识，可把成功攻击概率降低约 30%。
• 提升效率：安全工具熟练使用后，开发合规审计时间可缩短 20%~40%。
• 增强合规：满足 NIS2、DORA 等国际法规对安全培训的硬性要求，避免因合规缺失导致的高额罚款。

五、培训时间表（示例）

日期	时间	环节	主讲
2025‑12‑18	09:00‑11:00	威胁情报与案例分析	Koi Security 研究员（线上）
2025‑12‑19	14:00‑17:00	VS Code 插件安全审计实战	安全研发部张工
2025‑12‑20	10:00‑12:00	npm 供应链 SCA 工具使用	运维平台李经理
2025‑12‑21	13:00‑15:00	EDR 行为监控与事件响应	安全运营中心王主管
2025‑12‑22	09:30‑10:30	微课“每日安全小技巧”	安全宣传部小组
2025‑12‑23	整日	模拟钓鱼 & 结果反馈	信息安全办公室

六、培训后的行动计划

1. 安全清单：每位开发人员需在两周内完成本地 VS Code 扩展清单，并使用官方签名校验工具核对。
2. 依赖审计：运维平台在本月内完成全业务线的 npm 依赖树审计，发现高危包立即隔离。
3. 监控规则更新：安全运营中心在培训后 48 小时内上线针对 PowerShell、DLL 加载路径异常的 XDR 规则。
4. 定期复盘：每季度组织一次安全态势复盘会议，评估培训效果、更新案例库。

---

结束语：安全是每个人的职责，防御是全员的协同

信息安全不再是“IT 部门的事”，它已经渗透进代码库、构建流水线、甚至每一次鼠标点击。正如《孙子兵法》所言：“兵者，诡道也。” 攻击者的诡计层出不穷，唯有 “防微杜渐、日积月累” 才能在瞬息万变的数字化浪潮中保持防御的优势。

让我们把 “警惕” 融入每日的写代码、提交 PR、审查依赖的每一步；把 “验证” 做成每一次点击插件前的必做流程；把 “学习” 变成每月一次的安全培训常态。只有当全员都把安全当作工作姿态的一部分，才能让企业在自动化、数字化、数据化的高速赛道上行稳致远。

“安全不是一道墙，而是一条持续的路。”
— 参考自《信息安全治理白皮书》（2024），提醒我们：安全是一个动态的过程，需要不断的学习、演练和改进。

请大家踊跃报名即将启动的安全意识培训，用实际行动为公司筑起最坚固的防线。让我们共同把“好奇心”转化为“安全意识”，把“创新精神”转化为“防御能力”。相信在大家的共同努力下，企业的数据资产将如同金库般安全，业务发展必将更加高枕无忧。

让每一次点击，都成为对安全的坚守；让每一次学习，都成为对风险的削弱。

---

通过提升人员的安全保密与合规意识，进而保护企业知识产权是昆明亭长朗然科技有限公司重要的服务之一。通过定制化的保密培训和管理系统，我们帮助客户有效避免知识流失风险。需求方请联系我们进一步了解。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

头脑风暴：想象一下，您在公司内部的钉钉群里正讨论本周的项目进度，忽然弹出一条“系统升级请点击链接” 的消息；您轻点一下，就在不知不觉中打开了一个看似正常却暗藏玄机的网站。随后，屏幕上出现了“正在下载更新，请稍候”的提示，您误以为是官方推送，结果不经意间让黑客的远程访问木马悄然落地。而另一边，您收到一封自称来自“税务局”的邮件，要求您下载附件以核对纳税信息，结果下载的其实是一段经高度混淆的 JavaScript，随即在后台拉起了一个隐藏的 HTA 进程，完成了对您机器的完整侵入。
这两个情景看似离奇，却恰恰是当下企业内部最常见的信息安全事故的真实写照。下面，我们就以两起近期被业界广泛关注的攻击案例——JS#SMUGGLER与CHAMELEON#NET，展开深入剖析，帮助大家在脑洞与想象的碰撞中，真正认识到安全风险的“潜伏姿态”，从而在实际工作中做到“防微杜渐”。

---

案例一：JS#SMUGGLER——“伪装成页面的隐形炸弹”

1. 事件概述

2025 年 12 月，安全厂商 Securonix 在公开报告中披露，一批被称作 JS#SMUGGLER 的网络攻击活动，通过被入侵的合法网站作为载体，向访客投放了NetSupport RAT（远程访问木马）。攻击链由三大核心模块组成：

1. 隐藏的 JavaScript Loader（代号“phone.js”），混淆压缩后植入受害网站的页面；
2. HTML Application (HTA)，利用 mshta.exe 执行并下载后续的 PowerShell 载荷；
3. PowerShell Stager，在内存中解密、执行最终的 NetSupport RAT。

2. 攻击手法细节

• 页面劫持+设备指纹：攻击者在受害站点植入的 JS 会先进行设备指纹识别，判断访问者是手机还是桌面。如果是手机，则直接渲染全屏 iframe，将用户引导至恶意页面；若是桌面，则加载第二阶段脚本，继续后面的渗透。
• 一次性触发：loader 采用 “只触发一次” 的逻辑，利用本地存储或 cookie 记录访问状态，保证同一访客在后续访问时不再重复触发，从而降低被安全产品检测的概率。
• 多层加密与删除痕迹：HTA 文件在执行前会将窗口属性全部隐藏并最小化；PowerShell 载荷在执行完毕后即自毁，删掉磁盘上的临时文件，仅在内存中保留运行时句柄。

3. 风险与影响

• 全权限控制：NetSupport RAT 能够实现远程桌面、文件操作、命令执行、数据窃取及代理等全套功能，一旦失守，攻击者几乎可以对企业内部网络进行横向渗透。
• 检测难度大：攻击链使用 HTA+PowerShell 双重混淆，加之一次性触发及内存执行，使得传统基于文件或签名的防御技术难以捕获。
• 供应链隐患：因为攻击载体是被劫持的合法网站，即使是企业内部的安全网关也往往放行这些合法流量，导致防护误判。

4. 教训与对策（针对职工）

1. 勿随意点击弹窗：任何突兀的“系统升级”“安全检查”等弹窗，都应先核实来源，切勿盲目点击。
2. 保持浏览器安全插件最新：使用 内容安全策略（CSP） 插件或企业级浏览器防护，阻止不受信任的脚本执行。
3. 开启 PowerShell 严格日志：在公司终端上启用 PowerShell 转录（Transcription） 与 脚本块日志，便于事后审计。
4. 限制 mshta.exe：将 mshta.exe 加入白名单或直接在系统策略中禁用，防止其被滥用。

---

案例二：CHAMELEON#NET——“从邮件到内存的全链路隐形”

1. 事件概述

同样在 2025 年底，Securonix 又一次披露了另一条跨站点攻击链——CHAMELEON#NET。该活动通过 钓鱼邮件 把 Formbook（一款高级键盘记录与信息窃取的 RAT）投放至目标系统。攻击流程如下：

1. 钓鱼邮件：诱导用户下载后缀为 .bz2 的压缩包；
2. 混淆 JavaScript Dropper：压缩包解压后执行高度混淆的 JS，生成两个次级脚本 svchost.js 与 adobe.js；
3. .NET Loader 与 JAR：svchost.js 生成名为 QNaZg.exe（DarkTortilla Crypter）的 .NET 加载器；adobe.js 生成 PHat.jar（MSI 安装包）；
4. Reflective DLL 加载：最终 Loader 在内存中解密并反射加载 Formbook DLL，实现 文件无痕执行；
5. 持久化：通过写入 启动文件夹 与 注册表 Run 项，确保开机自启。

2. 攻击手法细节

• 多语言混合：攻击者将 JavaScript、VB.NET、Java（JAR） 三种语言交叉使用，形成“语言交叉感染”，大幅提升检测难度。
• 自定义 XOR 加密：Loader 使用 条件性 XOR 加密算法，对嵌入的 DLL 进行多层加密，只有在特定运行时环境（如检查系统语言、时间戳）满足时才解密执行。
• 文件无痕：所有恶意代码均在 %TEMP% 目录生成短暂文件，随后通过 内存映射 直接执行，实际留在磁盘的痕迹极少。
• 社会工程+技术混搭：攻击者借助“国家社保系统”伪装的钓鱼页面，引诱目标输入个人信息后下载恶意压缩包，形成“人机合一”的攻击路径。

3. 风险与影响

• 信息泄露：Formbook 能实时捕获键盘输入、截图、剪贴板内容，极易导致企业内部敏感数据（如账号密码、业务机密）泄露。
• 横向移动：一旦内网机器被植入后门，攻击者可利用已获取的凭据进行横向渗透，进一步控制关键业务系统。
• 持久化隐蔽：利用启动文件夹与注册表的双重持久化手段，即使单次清理也难以根除。

4. 教训与对策（针对职工）

1. 邮件审慎：对来自陌生或匿名发送者的附件务必保持警惕，尤其是压缩文件，一定要在 沙箱环境 中打开。
2. 开启宏安全：在 Office 系列中禁用自动宏执行，防止钓鱼邮件附带的 Office 文档触发脚本。



3. 使用多因素认证（MFA）：即使凭据被窃取，MFA 仍能在登录环节提供第二道防线。
4. 定期清理启动项：利用系统提供的 任务管理器 或 Autoruns 工具，检查并删除不明来源的自启动程序。

---

从案例到行动：在自动化、数字化、无人化的大趋势下，职工该如何“自救”

1. 自动化的双刃剑

在 自动化运维（AIOps）、机器人流程自动化（RPA） 迅速普及的今天，许多重复性工作已经被机器取代。与此同时，攻击者也在利用相同的自动化工具，如 PowerShell 脚本化攻击、恶意宏自动生成 等。
> “工欲善其事，必先利其器”，我们需要在拥抱自动化的同时，为每一位职工装备 安全感知的“利器”——即 安全意识 与 基础防护技能。

2. 数字化转型的潜在危机

企业正加速迈向 云原生、微服务 与 API 第三方集成。每一次系统升级、每一次接口开放，都可能是攻击面扩大的入口。
> 古人云：“防微杜渐”，在数字化浪潮中，这句话的含义更是防范微小漏洞导致的大规模泄密。职工在使用公司 SaaS、云盘、内部协作工具时，应当时刻保持 最小权限原则，不随意授权第三方应用。

3. 无人化、边缘计算与安全的共生

随着 无人仓库、智能制造 与 边缘设备 的广泛部署，IoT 设备 逐渐成为企业网络的“新边疆”。这些设备往往固件更新不及时、默认密码未改，极易被 脚本化木马 入侵。
> “千里之堤，毁于蟻穴”——一台未受控的边缘摄像头或传感器，都可能成为攻击者的跳板，进而危及整个企业网络。

4. 我们的行动号召

“不学则殆，学而不练乃虚”。
为此，公司即将在 12 月 15 日 正式启动 信息安全意识培训计划，本次培训将围绕以下三大核心模块展开：

模块	内容	目标
基础安全防护	电子邮件安全、网页防护、文件下载安全	让每位职工掌握最常见的攻击手法并能第一时间识别
高级威胁认知	PowerShell 监控、HTA 与 VBA 恶意脚本、内存加载技术	提升对新型 多阶段攻击链 的认知与应对能力
安全实战演练	沙箱实验、红蓝对抗模拟、SOC 事件响应流程	通过实战演练，将理论转化为操作技能

• 报名方式：登录公司内部学习平台，搜索 “信息安全意识培训”，填写个人信息即可自动完成报名。
• 培训时长：共计 8 小时（分四次完成），每次约 2 小时，可根据个人工作安排灵活调配。
• 奖励机制：完成全部培训并通过考核的同事，将获得 公司认证的“安全守护者”徽章，并有机会参与 年度安全红蓝对抗赛，赢取 价值 3000 元的安全硬件礼包。

5. 如何在日常工作中提升安全素养？

1. 每日安全巡检：利用公司提供的 安全插件（浏览器 CSP、终端 EDR）进行“一键自检”，发现异常立刻上报。
2. 保持系统更新：定期检查 操作系统、应用程序、固件 的补丁状态，尤其是 PowerShell、mshta.exe 等高危组件。
3. 安全日志养成：在终端上开启 PowerShell 转录 与 Windows 事件日志，养成查日志的习惯。
4. 跨部门协同：安全部门每月将发布 业务系统风险报告，请各业务线负责人组织团队开展 安全演练，形成 “安全共治” 的工作氛围。
5. 学习与分享：鼓励职工在 公司内部论坛、技术研讨会 中分享安全案例与防御技巧，形成 “知识闭环”。

6. 结语：从“脑洞”到“行动”，让每一次想象都变成防御的力量

信息安全不再是少数专业人士的专属领域，而是每一位职工的日常职责。正如《左传》所言：“防危于未发，祈福于未至”。当我们在头脑风暴中构想出潜在攻击场景时，也应将这些想象转化为具体的操作措施，让每一次点击、每一次下载、每一次系统更新都充满安全意识。

让我们共同铭记：“千里之堤，毁于蟻穴”，但只要每一位职工都成为安全的守堤者，再大的险流也挡不住我们前行的步伐。期待在即将开启的信息安全意识培训中，看到每一位同事的身影——用知识武装自己，用行动守护企业，用团队的力量把安全根植于数字化转型的每一个细胞。

让安全从想象走向实践，让每一次警觉成为企业最坚固的防线！

昆明亭长朗然科技有限公司致力于让信息安全管理成为企业文化的一部分。我们提供从员工入职到退休期间持续的保密意识培养服务，欢迎合作伙伴了解更多。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898