数据安全每周观察|8部门印发《加快数智供应链发展专项行动计划》

政策趋势

一、强制性国家标准《儿童手表安全技术要求》（征求意见稿）公开征求意见

根据国家标准委下达的强制性国家标准制修订计划，工业和信息化部组织完成了《儿童手表安全技术要求》强制性国家标准（征求意见稿）的编制工作，现对标准征求意见稿及编制说明予以公示，公示期为2025年5月14日至2025年6月12日。

《要求》5.6“网络安全”的规定，考虑到消费者对儿童智能手表在信息安全方面的关注度高，产品存在可能的非法窃听、信息泄漏等信息安全隐患。为了确保儿童智能手表在使用中的信息安全、输出正确价值观等内容，在标准中规定了信息安全、数据安全和个人信息保护、内容安全的要求。

数据安全和个人信息保护要求从八个方面保证产品的安全性：一是手表要制定专门儿童个人信息处理规则，在手表操作系统或管理端界面展示。二是手表内置功能或预置应用首次使用，需在管理端、手表端或应用程序端告知个人信息处理规则，及支持监护人选择单独同意后处理个人信息。三是手表内置功能和预置应用涉及自动化决策方式处理个人信息的，要满足给定的要求，包括不可利用信息商业营销，利用上网记录进行画像推送需监护人单独同意等。四是除系统内置功能和有法律法规依据的情形外，禁止向儿童智能手表上安装的应用程序提供不可变更的唯一设备识别码。五是手表不可向应用程序默认开放麦克风、摄像头、定位等权限，必需使用的权限，应在手表操作体系或管理端界面提供申请使用选项，并支持监护人单独同意后开放权限。六是内置功能和预置应用因业务需要，向其他个人信息处理者提供信息的，应同手表管理端向监护人告知接收方的名称、联系方式等，同时要取得监护人单独同意。七是手表需在操作系统或管理端提供查阅、更正、删除等个人信息方法途径，对于涉及信息转移、删除等可能影响儿童权益行使的，要在管理端向监护人明示，并需监护人单独同意。八是手表账号的解绑和注销要通过管理端由监护人操作，注销后个人信息应删除或匿名化处理。

二、《网络安全标准实践指南——个人信息保护合规审计要求》发布

根据《中华人民共和国个人信息保护法》、《个人信息保护合规审计管理办法》等法律法规要求，为指导个人信息保护合规审计活动，保护个人信息权益，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——个人信息保护合规审计要求》。

《指南》提出了个人信息保护合规审计原则，规定了个人信息保护合规审计的总体要求、实施流程、内容和方法，适用于个人信息处理者和专业机构开展个人信息保护合规审计活动。

《指南》要求，个人信息处理者和专业机构开展个人信息保护合规审计，应遵循合法性原则、独立性原则、客观性原则、公正性原则、专业性原则、保密性原则。其中，保密性原则是指专业机构和审计人员对在个人信息保护合规审计活动中获得的个人信息、商业秘密、保密商务信息等应予以保密，不应泄露或者非法向他人提供。

个人信息处理者自行开展个人信息保护合规审计的，应制定个人信息保护合规审计管理制度，明确开展个人信息保护合规审计的组织人员、方式方法、内容依据、范围频率等，以及合规审计人员的职责及权限；确保个人信息保护合规审计具备必要的资源及权限，包括合理的合规审计预算和人力资源计划，以及必要的办公场地、系统、设备等；确保个人信息保护合规审计活动的独立性，审计人员不应参与被审计对象的管理或决策，审计报告宜直接向董事会或安全合规委员会报告；建立健全个人信息保护管理制度、安全技术措施、处理情况记录、操作行为日志、监督检查记录、测试评价报告等合规审计证据体系，以供个人信息保护合规审计进行审查和评价；准备适当的个人信息保护合规审计相关工具，提高个人信息保护合规审计工作效率和质量。

三、《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》发布

根据《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《个人信息保护合规审计管理办法》等法律法规要求，为支撑个人信息保护合规审计工作，落实合规审计中专业机构相关规定，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——个人信息保护合规审计 专业机构服务能力要求》。

《指南》从基本条件、管理能力、专业能力、人员能力、场所与设备资源能力五个方面规范了专业机构提供个人信息保护合规审计服务的能力要求，可用于规范专业机构个人信息保护合规审计活动。

四、全国数标委征集数据基础设施等6个方向标准及技术文件验证试点单位

为落实全国数据标准化技术委员会2025年第一次主任委员办公会有关工作要求，全国数标委现征集数据基础设施、高质量数据集、数据匿名化、全国一体化算力网、可信数据空间、数据服务等6个重点方向标准及技术文件验证试点单位，形成一批验证试点应用示范案例。

（一）数据基础设施方向

1. 《数据基础设施 参考架构》标准

2. 《数据基础设施 互联互通基本要求》标准

3. 《数据基础设施 用户身份管理和接入要求》标准

4. 《数据基础设施 标识要求》标准

5. 《数据基础设施 连接器技术要求》标准

6. 《数据基础设施 数据目录描述要求》标准

（二）高质量数据集方向

1. 《高质量数据集 建设指南》技术文件

2. 《高质量数据集 格式要求》标准

3. 《高质量数据集 分类指南》标准

4. 《高质量数据集 质量评测规范》标准

（三）数据匿名化方向

1. 《面向数据流通的匿名化处理实施指南》标准

2. 《面向数据流通的匿名化效果评估方法》标准

（四）全国一体化算力网方向

1. 《全国一体化算力网 公共传输通道网络传输服务能力基本要求》标准

2. 《全国一体化算力网 监测调度平台建设指南》标准

（五）可信数据空间方向

1. 《可信数据空间 技术架构》技术文件

（六）数据服务方向

1. 《数据服务能力评估 第2部分：评估指标》标准

2. 《数据服务能力评估 第3部分：评估方法》标准

五、工信部等三部门印发《电子信息制造业数字化转型实施方案》

日前，工业和信息化部、国家发展改革委、国家数据局联合印发《电子信息制造业数字化转型实施方案》，着力拓展电子信息制造业数字化转型、智能化升级的广度和深度，巩固电子信息制造业稳增长内生动力，不断提升电子信息技术和产品对其他行业数字化转型赋能力度，助力推动新型工业化和制造强国建设。

《方案》强调，要强化网络和数据安全治理。指导电子信息制造企业建立健全工业控制系统和信息系统的网络安全防护制度。面向企业开展网络安全分类分级管理，加强工业控制系统、设备安全防护能力建设，加大网络安全投入，提升网络安全防护水平。推进电子信息制造业细分行业领域重要数据识别等标准规范研制。指导企业健全完善数据安全管理制度，开展重要数据识别与目录备案，加强分类分级防护，落实风险评估要求，强化风险监测与应急处置能力，提高数据安全保护水平，促进数据要素流通和数据资源开发利用。指导和支持第三方机构开展工控安全评估、数据隐私安全保护等评估。

六、国家数据局等8部门关于印发《加快数智供应链发展专项行动计划》的通知

近日，商务部、国家发展改革委、教育部、工业和信息化部、交通运输部、农业农村部、税务总局、国家数据局等8部门联合印发了《加快数智供应链发展专项行动计划》，明确在农业、制造业、批发业、零售业等重点领域加快数智供应链发展，推动降低全社会物流成本，培育一批数智供应链领军企业和供应链中心城市。

《计划》提到，要保障供应链数据流动安全。依法开展数智供应链关键信息基础设施认定与安全保护，优先选择安全可信的产品和服务，健全云计算服务安全评估制度。加强数智供应链数据安全评估，通过加密技术、零信任、关键数据备份等措施，保障供应链数据安全。推动数字信息可溯源、多来源信息可互验、多维度信息可校核，避免信息泄露。

七、网络安全等级保护测评高风险判定实施指引(试行)发布

近期，公安部十一局先后印发《关于进一步做好网络安全等级保护有关工作的函》(公网安〔2025〕1001号)、《关于对网络安全等级保护有关工作事项进一步说明的函》(公网安〔2025】1846号)，指导各单位全面深入推进网络安全风险隐患排查以及保护工作方案制定等工作。为进一步推进重大网络安全风险隐患发现、整改等工作落实，规范和统一全国网络安全等级测评活动中关于网络安全高风险问题的判定准则，同时支撑各地公安机关开展日常网络安全重大风险隐患督办整改等工作，现研究制定了《网络安全等级保护测评高风险判定实施指引(试行)》。

《指引》强调强化新型场景的安全防护。要求通过安全组、虚拟私有网（VPC）、虚拟防火墙等措施实现跨租户网络隔离，强化虚拟化边界防护，并且严格对数据全生命周期进行安全管控，包括镜像和快照保护、副本彻底清除、数据跨境管控等。要求工控网与企业网强制隔离，并进行安全域的细粒度划分，通信传输方面应采用加密认证技术手段实现身份认证、访问控制和数据加密传输，控制设备要进行安全检测并设置专用更新机制。

数据及供应链安全贯穿全场景无论是面向基础设施的通用安全标准，还是针对新型场景的安全要求，数据安全及供应链安全的重要性明显提升。数据保护要求贯穿采集、传输、存储、销毁全生命周期。

八、中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》

近日，中国人民银行发布《中国人民银行业务领域网络安全事件报告管理办法》（中国人民银行令〔2025〕第4号），自2025年8月1日起施行。

《办法》共五章三十三条，第二章对网络安全事件分级管理作出规定，明确特别重大、重大、较大、一般等级网络安全事件的分级标准底线规则；第三章对网络安全事件报告流程、内容、时效、途径等作出规定。

《办法》深入贯彻落实党中央、国务院印发的《国家突发事件总体应急预案》“各地各有关部门应当完善监测网络……加强对……金融异动、网络数据安全、人工智能安全等综合监测”“多种途径收集获取并共享信息”有关要求，《办法》明确网络安全事件信息共享和协同处置有关内容，国家有关部门和其他金融管理部门等对网络安全事件报告有规定的，金融从业机构还应当从其规定报告；中国人民银行加强与国家有关部门和其他金融管理部门间的网络安全事件报告内容共享，按照国家有关部门规定向其通报网络安全事件，并根据其他金融管理部门需要向其通报网络安全事件。

监管动态

一、多款APP因违规收集个人信息、窗口乱跳转被通报

根据中央网信办、工业和信息化部、公安部、市场监管总局等四部门联合发布的《关于开展2025年个人信息保护系列专项行动的公告》，依据《个人信息保护法》、《网络安全法》、《电信条例》、《电信和互联网用户个人信息保护规定》等法律法规，工业和信息化部对APP、SDK违法违规收集使用个人信息等问题开展治理。近期，经组织第三方检测机构进行抽查，共发现49款APP及SDK存在侵害用户权益行为，并予以通报。

二、国家计算机病毒应急处理中心检测发现63款违法违规移动应用

依据《网络安全法》、《个人信息保护法》等法律法规，按照《中央网信办、工业和信息化部、公安部、市场监管总局关于开展2025年个人信息保护系列专项行动的公告》要求，经国家计算机病毒应急处理中心检测，63款移动应用存在违法违规收集使用个人信息情况，现通报如下。

1、在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；个人信息处理者在处理个人信息前，未以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名、联系方式、个人信息的保存期限等。涉及《一键登录SDK》（版本2.0.6，官网）、《厦门银行企业银行》（版本8.0.0，vivo应用商店）等6款移动应用。

2、隐私政策未逐一列出App（包括委托的第三方或嵌入的第三方代码、插件）收集使用个人信息的目的、方式、范围等。涉及《金茂荟》（版本3.2.7，小米应用商店）、《爱弹奏钢琴智能陪练》（版本5.6.7，应用宝）、《厦门银行企业银行》（版本8.0.0，vivo应用商店）等26款移动应用。

3、个人信息处理者向其他个人信息处理者提供其处理的个人信息的，未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。涉及《转转》（版本11.11.7，PP助手）、《厦门银行企业银行》（版本8.0.0，vivo应用商店）、《掌通家园》（版本7.6.1，360手机助手）等14款移动应用。

4、未提供有效的更正、删除个人信息及注销用户账号功能；虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内完成核查和处理。涉及《一键登录SDK》（版本2.0.6，官网）、《驰声语音评测SDK》（版本2.3.5-3.0.2，官网）等5款移动应用。

5、投诉、举报未在承诺时限内受理并处理；个人信息处理者未建立便捷的个人行使权利的申请受理和处理机制。涉及《一键登录SDK》（版本2.0.6，官网）、《抖推猫任务台》（版本3.2.11，蒲公英）等8款移动应用。

6、未向用户提供撤回同意收集个人信息的途径、方式；个人信息处理者未提供便捷的撤回同意的方式。涉及《爱弹奏钢琴智能陪练》（版本5.6.7，应用宝）、《龙湖U享家》（版本6.0.15，应用宝）、《好大夫在线》（版本8.9.2，豌豆荚）等34款移动应用。

7、通过自动化决策方式向个人进行信息推送、商业营销，未同时提供不针对其个人特征的选项，或者未向个人提供便捷的拒绝方式。涉及《号令天下》（版本3.2.8，多多软件站）等1款移动应用。

8、个人信息处理者处理不满十四周岁未成年人个人信息的，未制定专门的个人信息处理规则；收集未成年人信息未取得监护人单独同意。涉及《爱弹奏钢琴智能陪练》（版本5.6.7，应用宝）、《龙湖U享家》（版本6.0.15，应用宝）等8款移动应用。

9、未采取相应的加密、去标识化等安全技术措施。涉及《Miracle Games Android SDK》（版本1.3.10.0，官网）、《金茂荟》（版本3.2.7，小米应用商店）等9款移动应用。

10、无隐私政策。涉及《天梯SDK》（版本1.8.5，官网）、《LinkAccount SDK》（版本1.0.52，官网）等14款移动应用。

三、浙江省通信管理局通报14款侵害用户权益行为的APP

浙江省通信管理局高度重视用户权益保护工作，依据《个人信息保护法》、《网络安全法》、《电信条例》、《电信和互联网用户个人信息保护规定》等法律法规，持续开展APP侵害用户权益治理工作。近期，浙江省通信管理局组织第三方检测机构对群众关注的网上购物、实用工具等类型APP进行检查，书面要求违规APP开发运营者限期整改。截至目前，尚有14款APP未按要求完成整改，予以通报。

四、公安网安侦破一起侵犯公民个人信息案，扩线抓获涉案人员151人，涉案金额4300余万元

山东青岛公安网安部门严打侵犯公民个人信息犯罪，侦破一起诱骗高校学生注册网络账号并层层倒卖的侵犯公民个人信息案，并据此发起2次集中收网行动，抓获涉案人员151人，涉案金额4300余万元。

2024年4月，山东青岛公安网安部门工作中发现一重大侵犯公民个人信息案件线索，警方依照线索来到了一间可疑的公寓，此时公寓里正围坐着几个摆弄着手机的年轻人。这些年轻人此时还没有意识到，自己正在参与违法犯罪活动，而他们口中的“兼职”，实际上是把自己的个人信息给出卖了。原来这些招聘“兼职”的团伙成立了所谓的“充场工作室”，承接各种手机软件和社交平台的“拉新”业务。表面看只是充个场面，实际上，涉案团伙哄骗兼职人员使用个人身份信息开展代为注册网络账号、实名手机号等“代实名注册”业务，涉案团伙通过贩卖个人信息获利。

警方制定了周密、详实的抓捕方案，最终，历经三个多月多批次抓捕，37名涉案人员全部落网。此案的成功告破，有力打击了网络犯罪物料供应链，切实保护了公民的信息数据安全，有效维护了网络空间安全和社会公共安全。

公安部多次公布依法打击侵犯公民个人信息犯罪等典型案例，揭秘犯罪手法，如：发布虚假招聘信息骗取求职者简历，出售给电诈骗等犯罪团伙牟利；购买大量网络账号利用“有偿删帖”牟利；招募兼职人员注册自媒体账号编造谣言引流牟利；非法操控大量网络账号，为网络直播、“饭圈”群体虚假刷量控评牟利等等。无论涉及哪种网络乱象或电信诈骗，实名账号几乎都是犯罪团伙作案所需。

五、退休后向境外间谍泄露国家秘密 冯某被判6年

近年来，个别涉密人员在离职后因保密意识淡薄、放松警惕，导致国家秘密泄露，给国家安全和利益造成严重损害。国家安全机关工作发现，某国有企业涉密岗位职工冯某退休后保密意识淡薄，被境外间谍情报机关以高额“咨询报酬”拉拢，利用其与原单位在职人员仍有密切交往的便利条件，获取我某重点行业领域核心涉密信息。最终，冯某被以为境外非法提供国家秘密罪，依法判处有期徒刑六年，剥夺政治权利二年，并处没收个人财产五十万元人民币。

国家安全机关提示，国家秘密关系国家安全和利益，任何泄密行为无论时隔多久、身处何地，都将受到法律严惩。涉密人员离岗离职后要始终明确底线、红线，时刻紧绷维护国家安全这根弦，不能以离岗离职为借口放松对自身的保密要求，不能以任何方式泄露国家秘密，更不能充当境外间谍情报机关对我实施渗透窃密的帮凶。

六、海尔小贷“违反信用信息管理规定”被罚48万

近日，中国人民银行重庆市分行官网日前披露两则行政处罚公告，重庆海尔小额贷款有限公司遭遇“双罚”，公司及相关负责人合计被罚55.1万元。

具体来看，重庆海尔小贷因违反信用信息采集、提供、查询相关管理规定，被处48万元罚款;时任公司数字科技部大数据总监张某对上述违法行为负有责任，被处7.1万元罚款。

针对小贷公司监管，2025年1月，国家金融监督管理总局官网发布了《小额贷款公司监督管理暂行办法》，其中便对消费者数据保护等作出要求。根据规定，小额贷款公司及其使用的互联网平台收集、存储、使用客户信息，应当遵循合法、正当、必要原则，在相关页面醒目位置提示客户阅读授权书内容，在授权书中披露收集信息的内容、使用方式和期限等，确保客户阅读授权书并签署同意。

七、聚焦整治偷拍、街拍侵犯公民肖像权、隐私权、个人信息权益乱象 上海市网信办依法开展专项治理

根据“亮剑浦江·2025”总体工作安排，针对近期出现的偷拍、街拍侵犯公民肖像权、隐私权、个人信息权益并进行网络传播，扰乱公共秩序、破坏网络生态等违法违规行为，上海市网信办组织开展“亮剑浦江·2025”整治偷拍、街拍侵犯公民肖像权、隐私权、个人信息权益专项行动，旨在通过行业主管监管部门和网站平台协同联动，依法依规打击违法违规内容网上传播，形成“拒绝偷拍、尊重隐私”的社会氛围。

近日，上海市网信办相关职能处室协同市公安局网安总队召开“偷拍内容网上传播专项执法工作部署”会，介绍专项工作内容、法律背景，并结合近期全国相关案例处理的情况提出工作要求。会议发布了此次专项整治“负面清单”，要求属地网站平台结合平台特点和工作实际，不断完善平台社区规则、向用户告知管理要求、加强用户行为管理、建立长效治理机制等，具体内容包括但不限于履行网站平台事前提醒义务、完善网站平台事中处置机制、健全网站平台事后举报机制，阻断以偷拍等方式获取的违法违规内容在属地平台传播，保障公民肖像权、隐私权、个人信息权益。小红书、拼多多、哔哩哔哩、大众点评、稀宇科技、咪咕等15家属地重点网站平台参会，并展开互动交流。

八、数据经纪巨头LexisNexis遭遇数据泄露，超36.4万用户敏感信息泄露

数据经纪公司 LexisNexis Risk Solutions 近日披露了一起严重数据泄露事件，影响超过36.4万人。该公司在向美国缅因州总检察长提交的文件中表示，这起始于2024年12月25日的数据泄露事件，使黑客能够从公司用于软件开发的第三方平台获取消费者的敏感个人数据。

LexisNexis证实，一名身份不明的黑客入侵了公司的GitHub账户。被窃取的数据包括姓名、出生日期、电话号码、邮寄和电子邮件地址、社会安全号码以及驾照号码等敏感信息。该公司表示于2025年4月1日收到"一个声称已获取某些信息的未知第三方"的报告，但未透露是否收到黑客的勒索要求。

作为数十亿美元数据经纪行业的一部分，LexisNexis利用大量消费者信息帮助企业检测潜在欺诈交易，并对潜在客户进行风险评估和尽职调查。该公司的数据还被执法机构用于获取嫌疑人的个人信息，如姓名、家庭住址和通话记录。

九、阿迪达斯确认遭遇网络攻击，客户数据被窃取

全球体育用品巨头阿迪达斯确认遭遇网络攻击，客户个人数据在此事件中被窃取。该公司透露，包括联系信息和账户凭证在内的个人详细信息被威胁行为者访问，但受影响的数据不包含密码、信用卡或任何其他支付相关信息。虽然阿迪达斯尚未披露受影响客户的确切数量，但用户仍应重置密码并密切监控其账户。

Armis Labs的最新数据显示，近一半的零售组织感到被他们必须应对的法规网络所压倒。更令人担忧的是，约49%承认他们之前曾被黑客攻击，并且仍在努力保护其数字生态系统。值得庆幸的是，数据显示，今年近80%的零售组织已将更积极主动的网络安全态势列为其议程的首位；82%报告说他们的员工知道如何上报可疑活动，尽管仅靠这一点可能不足以阻止坚决的威胁行为者。对于阿迪达斯客户，重要的是更改密码、监控账户是否有异常活动，并遵循公司的任何更新或指导。

十、SilverRAT远控木马源代码泄露

近日，臭名昭著的远程访问木马SilverRAT完整源代码在GitHub上短暂泄露，虽然该仓库"SilverRAT-FULL-Source-Code"很快被删除，但已被安全研究人员通过Wayback Machine存档。此次泄露包含了完整项目代码、功能列表、构建说明及控制面板截图。

此次泄露的GitHub仓库由用户Jantonzz发布，声称分享"最新版本"的SilverRAT。项目包含Visual Studio解决方案文件、构建说明和代码模块，任何具备基本.NET知识的人都能轻松编译。尽管仓库描述声称该工具"仅供学习和实验目的"，但其武器化功能清单明显指向犯罪应用。

安全专家警告，尽管泄露的恶意软件源代码常打着"教育目的"的幌子，但实际上这类泄露会助长网络犯罪。现在，即使是缺乏编程技能的低级网络犯罪分子也能编译自己的副本、修改恶意软件或创建新变种，显著扩大了该恶意软件的影响范围。

十一、开源生态系统告急：超70个恶意npm和VS Code包被发现窃取数据和加密货币

安全研究人员近期发现了大量恶意软件包在开源生态系统中传播，这些包主要针对npm注册表和VS Code扩展市场，目的是窃取敏感数据和加密货币凭证。这些发现显示了攻击者利用开发者信任来分发恶意代码，同时凸显了开源软件供应链安全的重要性。

在npm平台上，研究人员发现了60个恶意包，这些包由三个不同账户发布，总下载量超过3000次。这些恶意包会在安装时触发脚本，收集主机名、IP地址、DNS服务器和用户目录等信息，并将数据发送到Discord控制端点。Socket安全研究人员指出，这些代码专门设计用于对安装包的每台机器进行指纹识别，如果检测到在亚马逊、谷歌等虚拟化环境中运行，则会中止执行。

另外，研究人员还发现了8个伪装成React、Vue.js等流行JavaScript框架辅助库的恶意npm包已被下载超过6200次，这些包一旦安装就会部署破坏性负载。在VS Code市场中，Datadog安全研究团队发现了三个针对Solidity开发者的恶意扩展（solaibot、among-eth和blankebesxstnion），这些扩展伪装成合法工具，但实际上会窃取加密货币钱包凭证。攻击者使用复杂的感染链，包括利用存储在Internet Archive上的图像文件中隐藏的恶意负载。

十二、多阶段Chihuahua信息窃取木马现身：利用Google Drive窃取浏览器凭证和加密钱包

研究人员近日发现，2025年4月首次被检测到的新型.NET恶意软件Chihuahua Infostealer，主要针对浏览器凭证和加密货币钱包数据进行窃取。与传统恶意软件不同，Chihuahua采用多阶段加载器、云托管传递、基于原生API的加密和精细的清理例程，使其更难被检测和防御。

Chihuahua的感染链分为三个阶段：首先，通过社会工程学诱导用户执行恶意PowerShell脚本，该脚本会解码Base64编码的有效载荷并在内存中执行，避免写入磁盘以规避杀毒软件检测；其次，脚本创建名为f90g30g82的计划任务，每分钟运行一次，并监控用户的Recent文件夹中的.normaldaki标记文件，同时与命令控制服务器cdn.findfakesnake[.]xyz或备用服务器cat-watches-site[.]xyz通信获取额外载荷；最后，恶意软件从flowers.hold-me-finger[.]xyz下载.NET程序集和从OneDrive下载Base64编码的载荷，使用.NET反射在内存中执行，随后清理控制台、擦除剪贴板内容和本地痕迹。

根据picussecurity的报告，Chihuahua针对Chrome、Chromium、Brave、Opera、Microsoft Edge等多种浏览器，窃取保存的密码、Cookie、自动填充数据、会话令牌和浏览历史。它还通过定位特定浏览器扩展ID（如EVER Wallet、Rabby和Clover Wallet）来窃取加密货币钱包数据。

值得注意的是，该恶意软件代码中包含俄语说唱歌词的音译，说明其可能与俄罗斯有关，但尚未确定具体威胁行为者。

业界之声

一、北京市委网信办关于开展第二届网络安全技术支撑单位（2025-2027）遴选工作的通知

为健全完善市网络和数据安全技术支撑体系，充分发挥市网络安全技术资源优势，积极应对北京地区网络和数据安全威胁挑战，北京市委网信办联合国家互联网应急中心北京分中心按照“自愿申报、公平公正、开放竞争、优中选优”的原则，面向社会遴选新一批在网络安全领域技术实力强、服务能力突出、社会责任感强的单位，共同开展网络安全相关工作。

本次计划遴选25家网络安全技术支撑单位，包括4类专业领域：网络安全（10家）、数据安全（6家）、工控和物联网安全（4家）、新型网络威胁应对（5家）；每个申报单位选择其中1个专业方向进行申报。

二、全国数据标准化技术委员会2025年第一次主任委员办公会在京召开

近日，全国数据标准化技术委员会2025年第一次主任委员办公会在京召开。

会议审议了全国数标委27项拟立项标准项目、与密码行业标准化技术委员会互派联络员等重点议题。

会议指出，数据标准化对于推进数据基础制度落地、促进数据资源的高效开发利用、激发全域数字化转型动力、引领数字科技发展和基础设施建设等具有重要的支撑作用。会议强调：一是高质量推进标准研制。按照标准制修订程序，加快推进术语、数据基础设施、全国一体化算力网、高质量数据集、数据产品、数据流通匿名化、公共数据、数字化转型等方面标准立项，破解数据领域热点、难点技术问题，为数据产业发展提供支撑。坚持“高质量”导向，欢迎民营企业、国有企业、外资企业等团队参与标准研制，广泛凝聚行业共识，提升标准编制水平，充分发挥标准引领作用。按照“急用先行、急需先用”的原则，结合产业发展实际，组织各工作组持续征集标准需求，研究并尽快发布第二批数据领域标准清单。二是做好标准验证试点。坚持数据标准研制与数据产业实践相结合，加强标准验证能力建设，在一定范围内开展标准验证试点工作，推动技术标准不断迭代完善。围绕数据领域重点标准，强化应用服务支持力量，培育一批高素质、专业化的第三方数据服务机构，以高水平标准规范助力数据产业高质量发展。三是提前筹备“标准周”活动。要统筹推进、务实高效、节约简朴办好下半年的“标准周”活动，加快形成技术、产业、标准化研究成果。

关于数安行

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

关于数据运营安全

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。