依托Solar 安全运营响应团队对跨境勒索黑产的深度追踪与攻防复盘,致力洞悉攻击战术迭代,协助政企机构抢占防御高地。我们不只提供资讯,更提供“情报驱动决策,技术终结危机”的实战化解决方案。
我们致力于为政企机构构建集“监测预警 - 应急处置 - 溯源取证 - 灾难恢复”于一体的闭环安全防线。
前言:写在分析之前
网络安全攻防对抗的本质是不对称的,即便是投入巨大的行业巨头,在面对特定攻击手法时也难免出现防御死角。
2026年1月22日,Solar 威胁情报中心监测到勒索组织World Leaks在其暗网站点将Nike(耐克)列入受害者名单。攻击者声称已从 Nike 内部网络获取了约1.4TB的数据,并设定了1月24日为最后期限,威胁公开数据。
本文旨在基于 Solar 应急响应团队目前掌握的有限情报样本(文件目录与部分文档),从技术角度对泄露数据的性质及潜在风险进行初步研判。由于情报获取的局限性,部分分析可能存在偏差,我们保持谦卑的态度,欢迎业内同仁交流指正,共同探讨此类威胁的防御之道。
一、 泄露样本与业务风险研判
根据 World Leaks 公布的信息,此次事件并未采用常见的文件加密手段,而是侧重于数据的窃取。从攻击者展示的文件目录结构来看,数据涉及 Nike 核心产品的开发流程。
图1:World Leaks 暗网站点展示的文件夹结构
Solar 团队对获取到的部分样本文件进行了排查,发现泄露数据主要集中在产品生命周期管理领域,具体包括设计原稿、工艺规格及供应链成本信息。以下是针对具体样本的研判分析:
1.2026年未发布产品设计图(SU26)
在样本中,我们提取到一张文件名为FA_DP_1_GFB_SU26_IQ8094_SYS_SIDE.png的图片。
样本特征:图片清晰展示了一款黑色运动短裤的侧面设计细节,包含 Logo 位置与线条构造。
风险研判:文件名中的“SU26”对应2026年夏季(Summer 2026)。这意味着距离正式上市尚有较长时间的产品外观细节已被获取。此类数据的提前流出,可能导致市场上出现仿制品,或被竞争对手用于分析其未来的设计语言与产品规划。
图2:样本中标识为2026年夏季(SU26)的产品侧面设计原稿
2.产品工艺规格与测量数据
除了外观设计,样本中还包含详细的工艺参数文件,例如FA26_Apparel_IO0806...Style Measurements.csv。
样本特征:该表格详细记录了产品的测量点(POM Name)、关键等级(Criticality)以及具体的公差范围(Tol +/-)。数据覆盖了从 XXS 到 4XL 的全尺码段标准。
风险研判:此类文件通常被称为“技术规格包”,是工厂生产执行的直接依据。掌握了这些数据,第三方工厂理论上可以生产出在尺寸规格上与正品高度一致的产品,这对于品牌的生产标准保密性构成了挑战。
图3:包含详细测量点与公差范围的2026年秋季产品规格表(已模糊处理)
3.供应链物料清单(BOM)与成本信息
我们还注意到样本中包含涉及供应链管理的核心文档:
物料清单(BOM):文件
FA26_NVS_PBOM_KIDS_CID_CVT_DD110725.pdf列出了2026年秋季某款童装的完整物料信息,包括供应商名称(如 Avery Dennison)、具体物料代码及用量。成本核算数据:文件
SU24 BBALL LICENSE Minimum -CVT-20230608...csv记录了2024夏季篮球授权产品的最低起订量(Minimums)和面料用量(Fabric Usage)。
风险研判:BOM 表与成本数据的结合,能够还原出一款产品的实际物料成本结构。这不仅暴露了 Nike 的供应商体系,也可能在后续的商业谈判中给企业带来被动。
图4:列有详细供应商信息与原材料代码的物料清单(BOM)文件(已模糊处理)
二、 威胁源分析:World Leaks 组织特性
不同于以往高调传播勒索病毒的组织,World Leaks展现出了更隐蔽的行为模式。根据 Solar 威胁情报中心的关联分析,该组织疑似与 Hunters International 存在技术关联,或是其核心成员重组后的新品牌。
1.“只窃取,不加密”的战术转变
World Leaks 的显著特点是放弃了文件加密环节,转而专注于数据的窃取与勒索(Extortion-only)。
隐蔽性分析:在传统的勒索攻击中,大规模文件加密会导致服务器负载飙升或业务中断,从而触发 EDR 告警。而 World Leaks 选择在内网中长期潜伏,进行低速、持续的数据渗出。这种方式不会破坏业务连续性,因此极难被传统的端点防御系统察觉,导致企业往往在数据被挂在暗网后才发现曾遭入侵。
2.敲诈即服务(EaaS)模式
该组织采用了“敲诈即服务”的运营模式,将重心放在数据的变现上。他们通过暗网站点发布倒计时和样本数据,向受害企业施加舆论与合规压力。对于像 Nike 这样拥有大量知识产权的企业,数据公开带来的商业损失往往远超系统恢复的成本,这也是攻击者选择此策略的原因。
图5:World Leaks勒索家族简介
三、 总结与行业观察
此次事件表明,针对制造业和零售业的攻击重心,正在从用户隐私数据转向高价值的知识产权(IP)数据。
行业观察:
1.非加密攻击的防御盲区:企业现有的防御体系大多针对勒索病毒的加密行为设计(如防勒索诱饵文件)。面对 World Leaks 这种“不加密、只窃取”的模式,安全团队需要重新审视对异常数据传输的监控能力,特别是针对非工作时段的大流量上传行为。
2.非结构化数据的管控:设计图纸、BOM 表等非结构化数据往往分散存储于各业务部门的文件服务器中,权限管理相对宽松。企业应加强对此类敏感资产的访问控制与审计,防止内部横向移动带来的数据归集风险。
3.供应链协作风险:从泄露文件的命名规则(如包含供应商代号)推测,攻击链条可能涉及供应链上下游的协作环节。大型企业的安全边界已延伸至其合作伙伴,建立统一的供应链安全标准显得尤为重要。
Solar 应急响应团队将持续关注 World Leaks 的活动趋势,并致力于为行业提供客观、实用的威胁情报分析。
)
)
,小白也能看懂的大模型学习指南)
