重要！！！2025HW招募，加V:Hacker-ED

详情请点击：

重要！2025HW招募！

虚拟机逃逸！VMware高危漏洞被利用，国内公网暴露面最大;

VMware虚拟机逃逸漏洞正被积极利用，据统计全球近4万台服务器存风险，其中中国、法国、美国的受影响服务器数量位列前三，中国约4400台服务器存在风险。

安全内参3月7日消息，超过3.7万台暴露在互联网上的VMware ESXi实例易受CVE-2025-22224漏洞的影响。该漏洞是一个高危级别的越界写入漏洞，目前正在被积极利用。威胁监测平台The Shadowserver Foundation披露了这一大规模暴露情况。3月5日，该平台统计的受影响实例数量约为41500台。次日，Shadowserver报告称，仍有3.7万台服务器存在漏洞，这表明5日有4500台设备完成修补。CVE-2025-22224是一个高危级别的VCMI堆溢出漏洞，允许本地攻击者在拥有虚拟机客户机（VM Guest）管理员权限的情况下，逃离沙盒并以VMX进程的身份在宿主机（Host）上执行代码。3月4日，VMware母公司博通向客户发布警告，指出该漏洞以及另外两个漏洞（CVE-2025-22225和CVE-2025-22226）已被攻击者作为零日漏洞利用。这些漏洞由微软威胁情报中心发现，但该机构并未公布观察到的攻击时间，攻击来源和目标目前也未被披露。美国网络安全和基础设施安全局（CISA）已要求，联邦机构和州级组织必须在3月25日之前（3周内）部署可用的更新和缓解措施，否则必须停止使用该产品。Shadowserver报告指出，大多数受影响实例位于中国（4400台），其次是法国（4100台）、美国（3800台）、德国（2800台）、伊朗（2800台）、巴西（2200台）。然而，由于VMware ESXi在企业IT环境中被广泛用于虚拟机管理，其影响具有全球性。关于CVE-2025-22224的修复方案，建议用户查看博通官方公告，以获取受影响ESXi版本的详细信息。目前，该漏洞尚无可行的变通方案。此外，供应商还发布了常见问题（FAQ）页面，供用户了解进一步的行动建议及漏洞影响详情。

网络犯罪分子利用 DeepSeek 的流行度来传播木马化的 AI 客户端；

随着人工智能驱动平台的快速发展，网络犯罪分子不遗余力地利用 DeepSeek 这一强大的开放式推理大型语言模型 (LLM) 的流行度。根据卡巴斯基实验室最近的一份报告，多个威胁行为者正在分发伪装成合法 DeepSeek 客户端的木马安装程序，诱骗毫无戒心的用户下载窃取恶意软件和后门。

卡巴斯基的研究人员发现了几个冒充 DeepSeek 官方网站的虚假网站，旨在诱骗用户下载恶意软件。值得注意的是，这些网站使用了模仿 DeepSeek 模型版本的域名，例如：

• r1-deepseek[.]net

• v3-deepseek[.]com

欺诈网站省略了开始聊天的选项，而是向用户显示“获取 DeepSeek 应用程序”按钮，导致恶意 ZIP 存档下载。“然而，真正的 DeepSeek 没有官方的 Windows 客户端，”卡巴斯基研究人员指出。

单击按钮将下载“deep-seek-installation.zip”，其中包含一个 LNK 快捷方式文件，该文件在执行时会触发远程脚本下载。然后，该脚本将检索并运行其他有效负载，包括：

• 基于 Python 的窃取恶意软件

• 重命名的 svchost.exe（实际上是修改后的 python.exe）以逃避检测

• 针对 Cookie、登录凭据、加密货币钱包和个人文件的数据泄露工具

一旦执行，该恶意软件就会通过 Telegram 机器人或 Gofile 文件共享服务秘密传输被盗数据，使受害者难以注意到这一漏洞。

威胁者不断调整策略——卡巴斯基指出，其中一个恶意DeepSeek 网站在调查过程中改变了策略。有一次，v3-deepseek[.]com 域名开始分发一个假的 Grok AI 客户端，这是 xAI 开发的一个 AI 模型。

此外，攻击者还利用社交媒体操纵来扩大其影响范围。卡巴斯基研究人员在 X（以前的 Twitter）上发现了一些推广假 DeepSeek 安装程序的帖子，其中一些帖子的浏览量超过 120 万次。研究人员指出，大多数转发可能是自动机器人发出的。

除了窃取恶意软件之外，卡巴斯基还观察到针对技术更先进的用户的有针对性的后门活动。攻击者将恶意负载伪装成与 DeepSeek 兼容的框架（如 Ollama），使其在 AI 开发人员看来是合法的。

一些虚假的 DeepSeek 域名，例如：

• app.delpaseek[.]com

• app.deapseek[.]com

提供了一个自定义后门，检测结果为 Backdoor.Win32.Xkcp.a。此恶意软件会建立 KCP 隧道，使攻击者能够持久远程访问受感染的计算机。

研究人员观察到，其他恶意软件样本伪装在 deep_windows_Setup.zip 中，使用 DLL 侧载和隐写术注入 Farfli 后门变体，这是一种旨在逃避安全工具的先进技术。

随着 DeepSeek 等人工智能技术的发展，网络犯罪分子将继续通过分发虚假安装程序和凭证窃取程序来利用对人工智能工具的需求。卡巴斯基研究人员敦促用户验证软件来源，避免从非官方网站下载人工智能客户端。

报告警告说：“尝试使用聊天机器人可能会导致受害者失去社交媒体访问权限、个人数据甚至加密货币。”

用户和组织应保持警惕，实施端点安全措施，并对员工进行有关人工智能主题网络钓鱼策略的教育，以防止成为这些不断演变的网络威胁的受害者。

来源：https://securityonline.info/cybercriminals-exploit-deepseeks-popularity-to-distribute-trojanized-ai-clients/#google_vignette

文章来源 ：安全内参、安全圈

精彩推荐

乘风破浪|华盟信安线下网络安全就业班招生中！

【Web精英班·开班】HW加油站，快来充电！

‍

‍

始于猎艳，终于诈骗！带你了解“约炮”APP

‍