要闻速览

1、2025年国家网络安全宣传周将于9月15日在昆明开幕

2、"人工智能+能源"行动计划出炉，到2030年打造全球领先的智能能源体系

3、工信部提示：防范苹果公司iOS/iPadOS/macOS越界写入高危漏洞风险

4、突发！美国FCC宣布撤销中国信通院等多家我国机构测试认证许可

5、周下载量超 26 亿次的npm 软件包遭钓鱼攻击劫持

6、超1.6亿条记录！黑客组织声称窃取越南全国公民信用

一周政策要闻

2025年国家网络安全宣传周将于9月15日在昆明开幕

9月8日，2025年国家网络安全宣传周新闻发布会在北京举行。中央网信办网络安全协调局局长高林，昆明市委常委、市委宣传部部长徐晓梅介绍活动筹备情况，并答记者问。

据介绍，2025年国家网络安全宣传周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等部门于9月15日至21日在全国范围内统一开展，将于9月15日在云南省昆明市举行开幕式，今年网安周的主题是“网络安全为人民，网络安全靠人民——以高水平安全守护高质量发展”。

今年网安周期间，除开幕式外，还将举办网络安全技术高峰论坛、网络安全博览会暨网络安全产品和服务国际推介会、网络安全和信息化人才招聘会、网络安全及数字产业投资会、主题日和网络安全“七进”活动。全国网安标委标准周活动也将在云南昆明同期举行。

"人工智能+能源"行动计划出炉，到2030年打造全球领先的智能能源体系

国家发改委、国家能源局日前联合印发《关于推进"人工智能+"能源高质量发展的实施意见》，提出到2027年初步构建能源与人工智能融合创新体系，推动五个以上专业大模型在电网、发电等行业深度应用。

《意见》明确将重点发展"人工智能+电网"智能调控、新能源功率预测、虚拟电厂优化等八大领域，打造百个典型应用场景。到2030年，我国能源领域AI技术将达世界领先水平，实现算力电力协同发展，并在可控核聚变智能控制等前沿领域取得突破。

该文件是我国首个系统性部署AI与能源融合发展的国家级政策，标志着能源行业智能化转型进入全面加速阶段。

消息来源：国家能源局 国家发展改革委 国家能源局关于推进“人工智能+”能源高质量发展的实施意见

业内新闻速览

工信部提示：防范苹果公司iOS/iPadOS/macOS越界写入高危漏洞风险

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，苹果公司iOS/iPadOS/macOS存在越界写入高危漏洞，已被用于网络攻击。

iOS/iPadOS/macOS是由美国苹果公司开发的操作系统，由于其ImageIO框架存在越界写入漏洞，处理恶意图像文件可能会导致内存损坏。受影响版本为<iOS 18.6.2、<iPadOS 18.6.2、<iPadOS 17.7.10、<macOS Sequoia 15.6.1、<macOS Sonoma 14.7.8、<macOS Ventura 13.7.8。

目前，苹果公司已修复该漏洞并发布安全公告，链接： 

• https://support.apple.com/zh-cn/124925、

• https://support.apple.com/zh-cn/124926、

• https://support.apple.com/zh-cn/124927、

• https://support.apple.com/zh-cn/124928、

• https://support.apple.com/zh-cn/124929）。

建议相关单位和用户立即开展隐患排查，及时升级至最新安全版本，防范网络攻击风险。

突发！美国FCC宣布撤销中国信通院等多家我国机构测试认证许可

美国联邦通信委员会（FCC）于9月9日在其官网宣布，撤销多家中国实验室对进入美国市场电子产品的测试认证许可。FCC要求发射无线电频率的电子设备都必须获得在美国使用的认证，此前这些实验室为进入美国市场的电子产品提供FCC安全认证。

根据FCC发布的信息，此次禁止措施涉及的中国实验室包括：重庆信息通信研究院、中国质量认证中心车联网技术服务有限公司、威凯检测技术有限公司及上海分部、莱茵技术-商检(宁波)有限公司、UL美华认证有限公司、广州赛西光电标准检测研究院有限公司、中国信息通信研究院、上海市计量测试技术研究院、中检集团南方测试股份有限公司。

人民邮电报评论认为，这是一次典型的科技霸权行为。此前，美方已多次泛化国家安全概念，滥用出口管制和“长臂管辖”，严重扰乱了全球产供链稳定。

消息来源：人民邮电报 科技霸凌！FCC宣布撤销中国信通院等多家中国实验室测试认证许可

周下载量超26亿次的npm 软件包遭钓鱼攻击劫持

近日，网络安全机构Aikido Security 披露了一起npm软件包库遭黑客攻击的案例。据介绍，黑客通过钓鱼邮件入侵知名开发者Josh Junon（用户名qix）等人的账户，在至少18个高频下载包中注入恶意代码，这18个受影响的包周下载总量达26亿次。
qix表示，他收到的钓鱼邮件来自 support@npmjs.help（npm官网实际为npmjs.com），声称用户需要更新2FA认证，否则账户将在2025年9月10日被锁定，从而诱导开发者点击钓鱼链接并提交凭据。
据称，恶意网站上的登录表单会将输入信息回传至攻击者控制的地址。npm团队收到反馈后，已移除部分被篡改的软件包。主要受影响的npm包括：chalk（2.99亿次/周）、ansi-styles（3.71亿次/周）、supports-color（2.87亿次/周）、strip-ansi（2.61亿次/周）、wrap-ansi（1.97亿次/周）、debug（3.576 亿次/周）等。

消息来源：嘶吼网 黑客发起供应链攻击 向周下载量达20亿次的NPM包植入恶意软件

超1.6亿条记录！黑客组织声称窃取越南全国公民信用数据

安全内参9月11日消息，黑客组织ShinyHunters声称入侵越南国家信用信息中心（CIC）所属的越南信用研究所，窃取超1.6亿条记录，数据总量或达30亿条以上。CIC隶属于越南国家银行，负责全国信用信息的收集、分析与评级。
黑客在Telegram和黑客论坛上炫耀攻击成果，称数据包含个人身份信息、信用记录、信用卡信息（需解密）、政府证件、税务号、收入及债务信息等“极度敏感”内容，并提供大样本作为证据。尽管越南总人口不足1.02亿，但ShinyHunters解释称数据包含历史记录，几乎覆盖全国人口。他们利用一个已停止维护、无补丁可修复的“N日漏洞”实施入侵，且未尝试勒索，认为CIC不会回应。
目前尚无独立证据证实其说法，CIC也未回应置评请求。此次攻击若属实，将成为又一起波及全国人口的超级数据泄露事件。

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！