2025年度全球网络安全与网络攻击重大事件盘点

2025年是网络安全领域的关键一年，重大网络攻击、数据泄露事件频发，威胁组织声名狼藉程度再创新高，零日漏洞也在多起事件中被恶意利用。不过，部分事件的影响力或关注度尤为突出。以下是综合评选出的2025年十四个极具影响力网络安全热点话题及摘要，排名不分先后。

14. PornHub数据泄露事件

勒索团伙ShinyHunters从第三方分析服务商Mixpanel窃取了PornHub高级会员的行为数据，并以此对其实施勒索。

攻击者声称窃取的数据量约94GB，包含超过2亿条订阅用户的观看、搜索及下载记录，威胁若不满足勒索要求将公开这些数据。

尽管此次泄露未涉及财务凭证，但详细成人内容浏览记录的潜在公开风险，可能会对受影响用户造成严重的个人声誉损害。

过往类似敏感关系数据泄露事件，如Ashley Madison数据泄露事件已被证实与现实世界的伤害相关联。

13. ClickFix社会工程学攻击

2025年，ClickFix攻击被包括国家背景黑客组织和勒索软件团伙在内的众多威胁组织广泛采用。该攻击最初仅针对Windows系统的恶意软件活动，随后迅速扩展至macOS和Linux平台，通过攻击植入信息窃取器、远程控制木马及其他恶意软件。

ClickFix社会工程学攻击通过构建特定网页实施：先显示错误提示或问题预警，再提供“修复方案”。这些虚假内容可能包括错误信息、安全警告、验证码验证或更新通知，诱导访客执行PowerShell或Shell命令以“解决问题”。

受害者最终会因执行攻击者提供的恶意PowerShell或Shell命令，导致自身设备被感染。

ClickFix攻击采用多种诱骗手段，包括伪造Windows更新界面、TikTok平台上的虚假软件激活视频，以及附带视频教程的虚假验证码验证——教程会指导受害者复制粘贴可下载并执行恶意软件的命令。

ClickFix 攻击显示虚假的 Windows 更新屏幕

研究人员发现针对macOS的ClickFix变种，诱骗用户在终端中运行恶意Shell命令以安装信息窃取器；Linux用户也未能幸免，APT36组织曾通过钓鱼活动专门针对该系统发起攻击。

ClickFix攻击在2025年持续演变，研究人员与威胁组织不断推出该社会工程学攻击的新变种。近期发现的ConsentFix变种，通过滥用Azure CLI OAuth流程劫持微软账户，诱骗受害者完成OAuth授权流程以获取访问令牌；另一变种FileFix则利用Windows文件资源管理器地址栏，诱导用户执行恶意PowerShell命令。

根据最新发现，ClickFix攻击进一步商业化，出现名为“ErrTraffic”的付费平台，可自动化发起基于ClickFix的恶意软件攻击。

12. 15亿美元ByBit加密货币盗窃案

2月，攻击者从ByBit的冷钱包中窃取约15亿美元的以太坊，这是有记录以来规模最大的加密货币盗窃案之一。

调查显示该盗窃案与朝鲜 Lazarus黑客组织有关，美国联邦调查局随后证实该组织对此负责。据悉，攻击通过入侵一名Safe{Wallet}开发者的设备实施，该设备被用于ByBit的钱包运营业务。攻击者利用对开发者设备的控制权操纵交易审批流程，最终掏空冷钱包。

除ByBit外，其他加密货币交易所和钱包也遭遇攻击：Phemex被盗8500万美元，Cetus Protocol被盗2.23亿美元，BigONE泄露事件造成2700万美元损失，Trust Wallet的数千名用户因攻击遭受700万美元损失。

另一起备受关注的事件中，亲以色列黑客入侵伊朗Nobitex交易所，销毁了约9000万美元的加密货币。

11. Oracle数据盗窃攻击

勒索团伙Clop利用甲骨文企业资源规划套件（Oracle E-Business Suite，EBS）中的多个零日漏洞，发起大规模数据盗窃活动，Oracle成为主要攻击目标。

Clop团伙利用Oracle EBS中一个未修复的零日漏洞（CVE-2025-61882）入侵服务器并窃取数据。根据CrowdStrike和Mandiant的报告，漏洞利用最早始于7月，数据盗窃活动在8月达到顶峰。

10月，Clop勒索团伙开始向受影响企业发送邮件，威胁若不支付赎金将公开窃取的数据。

Clop 勒索团伙向Oracle EBS 套件用户发送勒索邮件

第二个Oracle零日漏洞（CVE-2025-61884）由勒索团伙ShinyHunters在Telegram上泄露利用工具（PoC）后被披露。Oracle已悄悄修复该漏洞，但目前尚不清楚ShinyHunters是否成功利用其窃取数据。

已披露遭Clop勒索团伙相关Oracle攻击的机构包括：哈佛大学、达特茅斯学院、宾夕法尼亚大学、菲尼克斯大学、Logitech、GlobalLogic、大韩航空及Envoy等。

10. DDoS攻击强度持续升级

2025年，全球多地组织遭遇创纪录的分布式拒绝服务攻击。Cloudflare缓解的多起攻击事件显示，DDoS攻击平台的攻击强度不断提升，峰值分别达到5.6太比特/秒、7.3太比特/秒、11.5太比特/秒，后续更出现22.2太比特/秒的超强攻击。

攻击强度的大幅增长主要源于Aisuru僵尸网络，该僵尸网络已成为多起史上最大规模DDoS攻击的核心驱动力。

微软报告称，Aisuru僵尸网络曾利用50多万个IP地址，对Azure发起峰值15太比特/秒的攻击；Cloudflare后续披露，该僵尸网络还发起过规模更大的29.7太比特/秒DDoS攻击。

创纪录的 Aisuru 僵尸网络攻击数据图表

过去几年，DDoS攻击服务已成为全球执法机构的打击目标。2025年，多国当局联合取缔多个“按次收费DDoS服务”平台，逮捕平台运营管理者。

欧洲刑警组织还宣布瓦解亲俄黑客组织NoName057(16)，该组织此前多次参与DDoS攻击活动。

9. 开发者供应链攻击激增

网络犯罪分子愈发将目标对准开发者，滥用开源软件包和扩展程序仓库，将其转变为恶意软件分发平台。在npm仓库中，攻击者多次展示平台可被用于推广恶意软件包的漏洞。

IndonesianFoods攻击活动向npm仓库批量上传数十万余个垃圾软件包和恶意软件包；更具针对性的供应链攻击则劫持每周下载量达数百万次的合法软件包。

破坏性最严重的攻击活动之一是Shai-Hulud恶意软件攻击，该攻击感染数百个npm软件包，用于窃取开发者密钥和API密钥。

在新 Shai-Hulud 活动中被盗取秘密的 GitHub 仓库

攻击者还多次针对集成开发环境（IDE）扩展市场发起攻击，包括微软VSCode Marketplace和OpenVSX平台。

名为Glassworm的攻击活动多次卷土重来，通过VSCode扩展程序分发恶意软件、窃取加密货币、安装挖矿程序，并下载包括早期勒索软件在内的额外攻击载荷。

Python软件包索引（PyPi）也成为攻击目标，恶意PyPi软件包和钓鱼活动通过窃取云凭证或植入后门入侵开发者系统。为此，PyPi平台推出新管控措施以限制恶意更新。

8. 朝鲜IT工作者相关安全威胁

2025年，朝鲜IT工作者渗透西方企业的行为，成为组织面临的重大身份安全威胁。

美国政府表示，这些IT工作者将收入输送给朝鲜政权，为其武器计划及其他项目提供资金支持。与利用软件漏洞不同，朝鲜相关行为体愈发通过伪造身份、借助中介或合法就业等方式渗透西方企业，且往往长期未被发现。

美国当局在至少16个州捣毁运营点——当地协助者代表朝鲜威胁组织接收企业配发的笔记本电脑，并为其提供从朝鲜远程访问企业环境的通道。

调查人员还揭露多起招募工程师出租或出售个人身份的活动，使朝鲜特工能够通过背景调查、获取工作机会，并以虚假身份访问企业内部系统。最终有五人承认协助实施此类计划。2025年，美国财政部多次对参与相关计划的朝鲜个人、掩护公司及银行家实施制裁。

此外，虽与朝鲜IT工作者计划无直接关联，2025年Contagious Interview攻击活动也有所增加，该攻击滥用招聘面试流程作为恶意软件分发渠道。

其中一起攻击中，朝鲜黑客通过深度伪造Zoom通话冒充企业高管，诱骗目标安装macOS恶意软件；另一起攻击则通过虚假技术面试，诱导开发者安装作为“评估任务”的恶意npm软件包，进而分发恶意软件。

7. AI提示注入攻击

2025年，人工智能系统已嵌入几乎所有生产力工具、浏览器和开发者环境，研究人员据此发现一类新型漏洞——提示注入攻击。

与传统软件漏洞不同，提示注入攻击利用AI模型的指令解读逻辑，通过输入精心设计或隐藏的内容，覆盖或绕过AI原有的指导规则和安全防护，从而操纵其行为。

这类攻击诱使AI系统将不可信内容视为指令，导致模型泄露敏感数据、生成恶意输出或执行非预期操作，且无需利用代码本身的漏洞。

多起高关注度事件展现了此类新型攻击的危害：

研究人员发现微软365 Copilot存在零点击数据泄露漏洞，通过包含隐藏提示注入的特制邮件，无需用户交互即可泄露敏感信息；

谷歌Gemini被曝存在通过邮件摘要和日历邀请实施提示注入的漏洞，可能被用于钓鱼攻击和数据窃取；

AI编程助手和IDE工具可被注入恶意提示，进而执行或推荐有害代码；

CometJacking攻击滥用Perplexity的Comet AI浏览器中的提示注入漏洞，诱骗系统访问关联服务（如邮件、日历）中的敏感数据；

其他提示注入攻击则将隐藏指令嵌入压缩图像中，人类无法识别，但AI系统可读取并执行。

6. 针对服务台的社会工程学攻击

2025年，威胁组织重点通过社会工程学攻击targeting业务流程外包（BPO）服务商和IT服务台，以入侵企业网络。

此类攻击不依赖软件漏洞或恶意软件，而是诱骗服务台工作人员绕过安全控制，为攻击者提供员工账户访问权限。

据报道，与Scattered Spider组织相关的黑客冒充员工，欺骗Cognizant服务台授予账户访问权限，该社会工程学攻击引发针对高知特的3.8亿美元诉讼。

黑客与服务台之间的通话记录

其他威胁组织也采用此类攻击手段，名为Luna Moth的组织通过冒充IT支持人员，入侵多家美国企业。

谷歌报告称，Scattered Spider组织通过滥用外包服务台获取内部系统访问权限，专门针对美国保险公司发起攻击。

零售企业也承认，针对服务台的社会工程学攻击直接导致多起大规模勒索软件攻击和数据泄露事件。

玛莎百货证实，攻击者通过社会工程学攻击入侵其网络并发起勒索软件攻击；Co-op也披露，在一起滥用支持人员的勒索软件事件后发生数据泄露。

针对玛莎百货和Co-op等零售企业的攻击，英国政府发布关于服务台和BPO服务商防范社会工程学攻击的指导意见。

5. 内部人员威胁

2025年，内部人员威胁造成巨大影响，多起高关注度事件显示，拥有可信访问权限的员工或顾问（无论是故意滥用权限，还是离职后权限未被撤销）均可能导致大规模损失。

Coinbase披露一起影响69461名客户的数据泄露事件，后续一名前Coinbase支持人员因涉嫌协助黑客入侵系统被逮捕。

CrowdStrike披露，其检测到一名内部人员向黑客提供信息，包括内部系统截图。据悉，该内部人员从一个名为Scattered Lapsus$ Hunters的组织获得2.5万美元报酬，该组织名称暗示其与Scattered Spider、Lapsus$和ShinyHunters等威胁组织存在关联。该内部人员在向黑客提供CrowdStrike网络访问权限前，其行为已被检测到。

内部人员行为还影响金融机构：FinWise银行披露一起与内部人员相关的数据泄露事件，影响约68.9万名美国第一金融（American First Finance）客户；另一起事件中，一名银行员工以仅920美元的价格出售自己的凭证，这些凭证随后被用于巴西中央银行1.4亿美元的盗窃案。

多起事件还体现出心怀不满的员工或前员工构成的威胁：

一名开发者因创建“终止开关”（kill switch）意图破坏前雇主系统，被判处四年监禁；Coupang的一起数据泄露事件追溯至一名离职后仍保留系统访问权限的前员工；

此外，某勒索软件团伙曾试图招募英国广播公司（BBC）记者，以协助入侵该媒体机构。

4. 大规模IT系统中断事件

2025年，一系列大规模IT系统中断事件扰乱全球服务和平台，凸显全球商业对云基础设施的高度依赖。尽管这些事件均非由网络安全漏洞引发，但其影响极为显著，因此值得列入本年度重大热点事件。

2025年最具影响力的系统中断事件包括：

Heroku全球outage导致数百个网络应用下线，影响对外服务和内部工具使用；

微软DNS故障导致Microsoft 365、Azure服务及众多组织的应用程序无法正常运行；

谷歌将本年度最大规模云平台中断事件归因于API管理问题，导致依赖其云基础设施的多项服务广泛故障；

AWS outage导致亚马逊Prime视频、Perplexity等众多依赖亚马逊云服务的平台下线；

Cloudflare遭遇多起故障事件，其中一起源于针对正在被利用的React2Shell漏洞的紧急补丁部署，导致其全球网络服务暂时中断。

3. Salesforce数据盗窃攻击

2025年，Salesforce成为大规模数据盗窃和勒索活动的频繁目标，威胁组织愈发关注该平台及其不断扩展的第三方服务生态。

尽管Salesforce自身未被入侵，但攻击者多次通过泄露账户、OAuth令牌和第三方服务漏洞获取客户数据，导致多起高关注度数据泄露事件。

这些攻击主要与勒索团伙ShinyHunters相关，影响多个行业的企业，包括科技、航空、网络安全、保险、零售和奢侈品行业。

受Salesforce数据盗窃攻击影响的企业包括谷歌、Cisco、Chanel、Pandora、安联人寿、农夫保险 、Workday等。

ShinyHunters勒索团伙最终搭建专门的数据泄露网站，对受影响企业实施勒索。

ShinyHunters Salesforce 泄漏网站

此类攻击的一个重要特点是入侵与Salesforce直接对接的第三方SaaS平台。攻击者入侵Salesloft、Drift等服务，窃取可访问关联Salesforce实例的OAuth令牌和凭证。

这些供应链攻击影响众多企业，包括谷歌、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks等。

Salesforce还调查了一起与Gainsight数据泄露相关的客户数据盗窃事件，该事件利用了在Salesloft、Drift攻击中窃取的OAuth令牌。

2. 零日漏洞攻击

2025年，零日漏洞仍是网络犯罪分子用于入侵企业网络、实施数据盗窃、网络间谍活动和勒索软件攻击的常用手段。

网络边缘设备和互联网暴露服务是主要攻击目标，因其处于互联网与内部网络之间的关键位置。

思科（ASA防火墙、IOS系统、AsyncOS系统、ISE设备）、思杰（Citrix NetScaler）、Ivanti Connect Secure、SonicWall、FreePBX和CrushFTP等产品的零日漏洞均被在野活跃利用。

微软SharePoint是本年度零日漏洞攻击的最大目标之一，其ToolShell漏洞被多个勒索软件团伙利用，用于部署网页后门、窃取敏感数据并维持在企业网络中的持久控制权。

Windows系统漏洞也多次被滥用，包括快捷方式处理和日志服务相关漏洞。 消费级和企业级软件也未能幸免，7-Zip和WinRAR的零日漏洞在钓鱼活动中被利用，以绕过安全防护并安装恶意软件。

利用7-zip零日漏洞的钓鱼邮件样本

多起事件涉及商业间谍软件和执法部门使用未披露漏洞解锁移动设备。

1. 人工智能驱动型攻击

2025年，人工智能（AI）成为攻击者的得力工具，他们在入侵过程中依赖大型语言模型（LLMs），并利用其编写和部署恶意软件。

安全研究人员和厂商报告称，越来越多的攻击利用AI实现更快的漏洞利用、开发自适应恶意软件，并扩大攻击规模。

谷歌警告称，已在野外发现新型AI驱动恶意软件家族，部分可根据受害者环境动态调整行为。影响数千个GitHub账户的S1ngularity攻击表明，AI工具可被用于自动化侦察和凭证窃取。

概念验证恶意软件（如PromptLock勒索软件）利用AI大型语言模型辅助加密、数据盗窃和攻击实施。

除恶意软件外，AI还被用于加速漏洞利用尝试。HexStrike等工具可快速分析并利用已知漏洞，降低利用N日漏洞所需的时间和技术门槛。

威胁组织还发布专用大型语言模型，如WormGPT 4和KawaiiGPT，使网络犯罪分子能够不受限制和安全防护约束地开发AI驱动型恶意软件。

截至2025年底，AI对攻击者而言已不再是实验性工具，而是加快恶意软件开发、实现攻击自动化、降低攻击门槛的常规手段。

参考及来源：https://www.bleepingcomputer.com/news/security/the-biggest-cybersecurity-and-cyberattack-stories-of-2025/