1、Apache Struts 2曝高危漏洞攻击者可窃取敏感数据 https://www.freebuf.com/articles/web/466539.html 已在 Apache Struts 2 中发现一个关键的 XML 外部实体（XXE）注入漏洞，该漏洞可能使数百万应用程序面临数据窃取和服务器被入侵的风险。 该漏洞被追踪为 CVE-2025-68493，影响该广泛使用的框架的多个版本，需要开发者和系统管理员立即采取行动。 2、欧洲铁路运营商Eurail确认发生数据泄露 https://www.theregister.com/2026/01/14/eurail_breach/ 欧洲铁路运营商Eurail（欧盟居民称Interrail）确认发生数据泄露，客户信息遭窃取。该公司于2026年1月10日首次公布此事，1月13日起向受影响客户推送通知邮件，暂未披露受影响人数。泄露数据含姓名、出生日期、联系方式、护照号码等核心身份信息，直接购票客户无护照可视化副本泄露，但通过欧盟DiscoverEU项目获取车票的用户，还可能泄露身份证复印件、银行账户参考号及健康数据。欧盟委员会指出目前无数据滥用或公开披露证据，Eurail已加固系统、修复漏洞并重置凭证，且已按GDPR要 3、俄APT组织利用PLUGGYAPE恶意软件攻击乌国防部队 https://www.freebuf.com/news/466535.html 乌克兰计算机应急响应小组（CERT-UA）近日披露，乌克兰国防部队遭受新型网络攻击，攻击者使用PLUGGYAPE恶意软件。政府专家以中等可信度将该攻击归因于俄罗斯关联组织Void Blizzard（又名Laundry Bear、UAC-0190），该组织自2024年起持续活跃。 4、Ruckus IoT控制器因硬编码密钥泄露面临系统被接管 https://www.anquanke.com/post/id/314315 一对高危安全漏洞在 Ruckus vRIoT IoT Controller 中被披露，该设备是企业 IoT 设备管理的核心中枢。两个漏洞的 CVSS 评分均为满分 10.0，意味着它们不仅易于利用，而且可能导致系统被完全接管。 5、研华设备存在 SQL 注入可导致 IoT设备被完全攻陷 https://www.anquanke.com/post/id/314324 新加坡网络安全局（CSA）已就研华（Advantech）IoT 产品线中一个极具破坏性的漏洞发布高优先级警报。该漏洞编号为 CVE-2025-52694，CVSS 评分高达 10.0（满分），表明其属于需要管理员立即处理的严重威胁。 6、Moxa交换机存在OpenSSH远程代码执行漏洞 https://www.anquanke.com/post/id/314327 Moxa 的工业以太网交换机中被发现存在一个严重安全漏洞，可能威胁工业控制系统（OT）网络的完整性。该漏洞编号为 CVE-2023-38408，CVSS 评分高达 9.8（高危），意味着需要立即修复。 7、zlib高危漏洞引发全球性缓冲区溢出风险 https://www.anquanke.com/post/id/314276 一款被 “几乎所有计算机硬件和操作系统” 采用的无损数据压缩引擎 zlib，被曝出一个高危漏洞。该漏洞编号为CVE-2026-22184，属于全球性缓冲区溢出漏洞，其通用漏洞评分系统（CVSS）分值高达9.3，对所有依赖该函数库中untgz工具的系统构成重大威胁。 8、印度以应对网络威胁为由要求审查苹果、三星等智能手机源代码 https://www.anquanke.com/post/id/314272 在国家安全诉求与企业保密权的拉锯战日益升级之际，印度最新提出的获取智能手机源代码的要求，在科技巨头间引发轩然大波。这项于近日公布的提案，强制要求苹果、三星等企业向政府实验室提交专有源代码以供审查，表面上是为了在这个全球最大的数字市场之一打击日益猖獗的网络威胁。但长期以来坚守用户隐私立场的苹果公司，此次却坚决抵制，这一表态或将重塑全球企业在新兴经济体应对监管压力的策略。 9、波兰全国可再生能源设施遭遇大规模网络攻击 https://www.secrss.com/articles/87065 波兰政府日前表示，成功挫败了近年来针对该国能源基础设施最严重的一次网络攻击，从而避免了一场大规模停电。据波兰能源部长Miłosz Motyka称，此次未遂破坏发生在去年12月末，黑客针对全国大范围内的可再生能源设施，包括太阳能电站和风力发电机，与电力配电运营商之间的通信发动了攻击。 10、《交通运输数据安全管理办法》公开征求意见 https://www.secrss.com/articles/87033 为贯彻落实《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规要求，规范交通运输数据处理活动，保障交通运输数据安全，交通运输部起草了《交通运输数据安全管理办法（征求意见稿）》，现面向社会公开征求意见。公众可通过以下途径和方式提出意见： 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、《Apex英雄》游戏漏洞可远程控制其他玩家操作 https://cyberpress.org/apex-legends-remote-input-control-exploit/ 热门战术竞技游戏《Apex英雄》被曝存在严重安全漏洞，攻击者可远程劫持并控制其他玩家的游戏内输入操作。该漏洞使黑客能在玩家不知情的情况下，完全操控其角色移动、武器使用及战术技能，直接破坏游戏公平性与玩家操控权，属于竞技游戏领域新型攻击向量。开发商Respawn Entertainment确认漏洞仅作用于输入处理层面，不涉及远程代码执行或系统入侵，未引发更严重的设备安全风险。目前开发团队正开展深度取证分析，排查受影响玩家并明确事件范围，承诺及时更新修复进展，同时呼 2、微软2026年首次安全更新修复其产品及系统的112个漏洞 https://cyberscoop.com/microsoft-patch-tuesday-january-2026/ 微软发布2026年首次补丁星期二更新，修复涉及旗下产品及底层系统的112个漏洞，其中含1个已被在野利用的零日漏洞（CVE-2026-20805）。该漏洞位于桌面窗口管理器（Desktop Window Manager），属于信息泄露类缺陷（CVSS评分5.5），攻击者可利用其泄露敏感内存信息，削弱系统防御并助力其他漏洞利用，提升多阶段攻击成功率，可能导致权限提升或数据窃取。美国CISA已将其纳入已知利用漏洞目录，专家指出该漏洞利用需攻击者获取本地权限，且这是该组件信息泄露 3、西班牙能源巨头Endesa遭网络攻击导致客户数据泄露 https://www.barrons.com/news/hack-hits-spanish-energy-giant-endesa-s-client-data-419ba37d 西班牙能源巨头Endesa披露遭网络攻击，其数百万客户中的部分个人数据已被泄露，但公司明确排除了信息被欺诈性使用的可能。攻击者非法获取了客户能源合同相关数据、联系方式、身份证号及支付方式等信息，不过客户登录密码未受影响。Endesa表示其安全协议已迅速且妥善地控制并缓解了该事件，目前无数据遭欺诈使用的记录，暂未披露攻击具体发生时间及受影响客户数量（该公司在西班牙和葡萄牙拥有超1000万客户）。目前公司正展开全面调查 4、黑客宣称窃取Target内部源代码和开发者文档 https://www.bleepingcomputer.com/news/security/targets-dev-server-offline-after-hackers-claim-to-steal-source-code/ 2026年1月13日更新消息显示，多名塔吉特（Target）员工确认泄露源代码样本集的真实性，并分享了有关访问权限变更的内部通知。此前，未知威胁者在Gitea平台发布疑似塔吉特内部代码仓库样本，称更大规模数据集（约860GB）将在暗网拍卖，样本含支付服务、礼品卡等相关代码及内部服务器、工程师信息。塔吉特被问询后，相关仓库被移除，其开发服务器git.target.c 5、微软Copilot曝一键式漏洞：攻击者可悄无声息窃取敏感数据 https://www.freebuf.com/articles/ai-security/466532.html 研究人员发现针对微软Copilot Personal的新型一键式攻击，攻击者可通过该漏洞静默窃取用户敏感数据。该漏洞现已被修复，此前威胁分子可通过钓鱼链接劫持会话而无需进一步交互。 6、FortiOS高危漏洞可致远程攻击者执行任意代码 https://cybersecuritynews.com/fortios-and-fortiswitchmanager-vulnerability/ Fortinet披露高危漏洞（CWE-122），攻击者可远程执行任意代码，影响多个FortiOS、FortiSASE和FortiSwitchManager版本。建议立即升级或禁用fabric接口并阻断CAPWAP-CONTROL流量。 7、新型高级Linux恶意软件VoidLink瞄准云与容器环境 https://thehackernews.com/2026/01/new-advanced-linux-voidlink-malware.html VoidLink是一款针对Linux云环境的模块化恶意软件框架，支持动态扩展和隐蔽攻击，具备37个插件覆盖完整攻击链，采用高级反检测技术，与中国关联威胁组织有关，专攻云服务和开发环境。 8、Spring CLI工具漏洞可导致用户设备遭受命令注入攻击 https://cybersecuritynews.com/spring-cli-tool-vulnerability/ Spring CLI VSCode扩展0.9.0及更早版本存在命令注入漏洞（CVE-2026-22718，CVSS 6.3），攻击者可本地执行任意命令。该扩展已终止支持，建议立即卸载并改用替代方案。 9、Node.js 关键漏洞可触发堆栈溢出导致服务崩溃 https://thehackernews.com/2026/01/critical-nodejs-vulnerability-can-cause.html Node.js修复关键漏洞CVE-2025-59466（CVSS 7.5），该漏洞在使用async_hooks时可能导致堆栈溢出直接崩溃而非优雅处理，影响几乎所有生产环境应用，包括Next.js和主流APM工具。建议立即升级至20.20.0/22.22.0/24.13.0/25.3.0版本。 10、微软桌面窗口管理器0Day漏洞遭野外利用 https://cybersecuritynews.com/desktop-window-manager-0-day-vulnerability/ 微软紧急修复DWM关键0Day漏洞CVE-2026-20805，该漏洞允许本地攻击者泄露内存数据，可能用于权限提升。漏洞被评为重要级别，影响旧版Windows系统，需优先部署补丁。微软确认漏洞已被利用，建议限制低权限账户并监控DWM进程。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、BlueDelta黑客组织利用PDF文件为诱饵窃取登录凭证 https://hackread.com/russian-bluedelta-fancy-bear-pdfs-steal-login/ 黑客组织BlueDelta（又称Fancy Bear）于2025年2月至9月，针对土耳其及欧洲能源、核研究等领域专业人士开展凭证窃取攻击。该组织以海湾研究中心（GRC）、EcoClimate基金会等机构的合法PDF为诱饵（如气候行动、以伊相关报告），受害者打开链接查看文档时，页面会在2秒后自动切换至仿冒登录界面，涵盖谷歌（葡萄牙语版）、Sophos VPN、微软Outlook等多种类型，分别针对不同地区及行业人群。攻击借助Webhook.site等免费网络服 2、攻击者利用Cloudflare服务隐蔽传输AsyncRAT载荷 https://www.trendmicro.com/en_us/research/26/a/analyzing-a-a-multi-stage-asyncrat-campaign-via-mdr.html 攻击者利用Cloudflare免费服务及TryCloudflare隧道域名搭建WebDAV服务器，结合Python环境部署AsyncRAT远程控制木马，实施多阶段攻击。攻击始于含Dropbox链接的钓鱼邮件，以双扩展名（.pdf.url）文件为诱饵，执行时显示合法PDF降低受害者警惕。后续通过Windows脚本主机等合法工具下载恶意脚本，在受害者系统搭建Python环境，向explore 3、新型OPCOPRO诈骗活动利用AI与伪造WhatsApp群组欺骗受害者 https://hackread.com/opcopro-scam-ai-fake-whatsapp-groups-fraud/ 研究人员披露，名为OPCOPRO的大型诈骗活动通过构建AI驱动的虚假数字世界欺诈移动端用户。2025年10月起，诈骗分子冒充高盛发送承诺70%股票回报的短信，诱导用户点击链接加入伪造WhatsApp群组。群内AI生成的“詹姆斯教授”“莉莉助理”与大量自动化机器人营造虚假氛围，经数周建立信任后，诱导用户从官方应用商店下载OPCOPRO空壳应用，以虚假合作协议和高回报承诺诱骗完成KYC认证（上传身份证及活体自拍）并投资。窃取的身份信息可用于SIM卡互换、入侵工作账户等 4、CISA将Gogs高危漏洞纳入已知被利用漏洞目录 https://securityaffairs.com/186837/hacking/u-s-cisa-adds-a-flaw-in-gogs-to-its-known-exploited-vulnerabilities-catalog.html 美国网络安全与基础设施安全局（CISA）将Gogs（Go Git Service）的路径遍历漏洞（CVE-2025-8110，CVSS评分8.7）纳入已知被利用漏洞（KEV）目录。该漏洞源于PutContents API对符号链接处理不当，是此前已修复RCE漏洞（CVE-2024-55947）的绕过漏洞，授权攻击者可通过符号链接覆盖仓库外文件实现远 5、Everest黑客组织宣称入侵日产汽车窃取约900GB敏感数据 https://cyberpress.org/breach-of-nissan-motors/ 黑客组织Everest宣称对全球顶尖汽车制造商日产汽车（Nissan Motor Co., Ltd.）实施了网络入侵，并窃取约900GB敏感数据。该入侵事件于2026年1月10日被观测到，目前尚未经独立验证，Everest已提供部分入侵证据，但被盗数据的完整范围和具体性质未完全披露。作为全球汽车制造业关键企业，日产的此次疑似入侵可能影响运营、员工记录、知识产权或客户信息，进而波及下游产业链的生产计划与业务连续性。相关声明由Hackmanac威胁情报网络监测发现并归类为活跃网络攻击警报，行业背景显示 6、夏威夷大学癌症中心遭勒索软件攻击 https://www.bleepingcomputer.com/news/security/university-of-hawaii-cancer-center-hit-by-ransomware-attack/ 夏威夷大学披露，其癌症中心于2025年8月31日遭勒索软件攻击，攻击者窃取了研究参与者数据，含20世纪90年代用于标识参与者的社保号文件。该事件仅影响单个研究项目，未波及临床运营。校方发现后立即断开受影响系统并聘请专家调查，为保护相关人员信息，选择与威胁者接触并支付赎金，以获取解密工具并确保被盗数据被安全销毁。目前校方尚未通知受影响者，已采取安装终端防护、更换系统及防火墙等措施强 7、朝鲜远程工作者通过身份窃取入侵敏感系统牟利6亿美元 https://cybersecuritynews.com/dprks-remote-workers-generating-600m-using/ 朝鲜远程渗透计划年创收6亿美元，通过虚假身份和AI深度伪造技术获取西方企业高薪职位，窃取资金和知识产权。企业需升级身份验证，核实员工物理位置，加强网络流量分析以防范威胁。 8、恶意Chrome扩展窃取钱包登录凭证并实施自动化交易 https://cybersecuritynews.com/malicious-chrome-extension-steals-wallet-login-credentials/ 恶意Chrome扩展MEXC API Automator伪装成交易工具，窃取用户API密钥并自动勾选提现权限，通过Telegram发送给攻击者，无需密码即可清空账户。 9、超10万台暴露在互联网的n8n实例存在远程代码执行漏洞风险 https://cybersecuritynews.com/100000-n8n-instances-exposed/ n8n工作流平台曝高危RCE漏洞(CVE-2026-21858)，CVSS评分10.0，超10万暴露实例面临完全控制风险。攻击者可无认证执行任意代码，窃取数据。建议立即升级至1.121.0版本并限制网络访问。 10、黑客利用"浏览器套浏览器"技术窃取Facebook用户登录凭证 https://cybersecuritynews.com/hackers-leverage-browser-in-the-browser-tactic/ Facebook用户面临新型钓鱼攻击，攻击者利用"浏览器套浏览器"技术创建逼真登录弹窗，结合社会工程学窃取凭证。攻击托管于可信云平台，隐蔽性极强，需用户高度警惕。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Kimsuky黑客组织针对政府机构发起钓鱼攻击 https://securityaffairs.com/186755/intelligence/north-korea-linked-apt-kimsuky-behind-quishing-attacks-fbi-warns.html 美国联邦调查局（FBI）发布警示，与朝鲜关联的APT组织Kimsuky正通过含恶意二维码的鱼叉式钓鱼邮件，针对政府机构、学术院校及智库发动攻击。此类攻击将恶意二维码作为邮件附件或嵌入式图形，规避传统安全过滤，受害者扫描后会被导向攻击者控制的重定向器，收集设备与身份信息，再推送仿冒微软365、Okta等平台的钓鱼页面窃取凭证，还可通过会话令牌盗用绕过多因素认证。 2、欧洲刑警组织突袭打击西班牙黑斧网络犯罪团伙 https://thehackernews.com/2026/01/europol-arrests-34-black-axe-members-in.html 欧洲刑警组织联合西班牙国家警察等机构在西班牙开展行动，抓获34名涉嫌隶属于跨国犯罪组织Black Axe的成员，其中28人在塞维利亚落网，马德里、马拉加、巴塞罗那各有多人被捕。该组织涉足网络诈骗、贩毒、人口贩卖等多种犯罪活动，此次涉案诈骗金额超593万欧元（约合690万美元）。执法部门已冻结11.9万余欧元银行账户资金，并查获6.6万余欧元现金。Black Axe1977年起源于尼日利亚，等级制度森严，全球约有3万名注册成员，此前国际刑 3、BreachForums黑客论坛泄露超32万用户信息 https://hackread.com/breachforums-database-users-leak-admin-disputes/ 2026年1月9日，知名网络犯罪论坛BreachForums的用户数据库被公开泄露，涉及323986名用户信息。该数据库由黑客相关平台shinyhunte.rs发布，含用户显示名、邮箱、Argon2i密码哈希及Telegram关联账户等数据，附带的有效PGP签名证实数据源自论坛内部系统。BreachForums管理员回应称，泄露数据源于2025年8月域名被下架后的恢复过程，因用户表和PGP密钥短暂存于不安全目录被盗，强调未发生服务器入侵，密码经安全哈希处 4、黑客宣称窃取康泰纳仕4000万条用户记录 https://www.securityweek.com/hacker-claims-theft-of-40-million-conde-nast-records-after-wired-data-leak/ 化名“Lovely”的黑客近期在多个网络犯罪论坛泄露《连线》杂志（Wired.com）230万订阅用户记录后，宣称还窃取了其母公司康泰纳仕（Condé Nast）超4000万条用户记录，并威胁将在“未来几周内”分批公开。网络安全公司Hudson Rock证实了《连线》泄露数据的真实性，经与信息窃取恶意软件获取的凭证交叉验证匹配。泄露数据含姓名、邮箱、生日等信息，仅邮箱地址在所有记录中均 5、Instagram否认泄露约1750万账号数据 https://securityboulevard.com/2026/01/massive-instagram-data-scare-ties-17-5m-accounts-to-leak-but-meta-denies-breach/ 全球知名社交平台Instagram陷入大规模网络安全恐慌，数百万用户收到非主动请求的密码重置邮件，引发大规模数据泄露担忧，但母公司Meta否认系统遭入侵，称用户账号仍安全。2026年1月8日起，多国用户陆续收到来源显示为Instagram官方的密码重置邮件，引发社交媒体和安全论坛广泛关注。网络安全公司Malwarebytes发现暗网论坛流传含约1750万In 6、黑客攻击代理服务器获取LLM服务访问权限 https://www.bleepingcomputer.com/news/security/hackers-target-misconfigured-proxies-to-access-paid-llm-services/ 攻击者正系统性搜寻配置错误的代理服务器，以获取商业大型语言模型（LLM）服务访问权限，相关活动自2025年12月底持续至今，已探测73个LLM端点并生成超8万次会话。据GreyNoise平台报告，存在两大攻击活动：10月的攻击活动利用SSRF漏洞注入恶意链接，疑似安全研究人员所为；12月28日启动的攻击活动则通过低噪音查询枚举暴露的LLM端点，目标涵盖OpenAI、谷歌 7、Everest黑客组织宣称入侵日产汽车公司 https://www.freebuf.com/articles/database/466006.html Everest黑客组织宣称对日产汽车有限公司(Nissan Motor Co., Ltd.)实施了重大数据入侵，这再次引发人们对大型汽车制造商数据安全问题的担忧。 8、InputPlumber严重漏洞威胁Linux游戏玩家 https://securityonline.info/game-over-critical-inputplumber-flaws-expose-linux-gamers-to-hijacking/ Linux游戏工具InputPlumber曝高危漏洞（CVE-2025-66005、CVE-2025-14338），允许本地攻击者劫持会话或窃取root文件。漏洞源于D-Bus服务缺乏认证，建议升级至v0.69.0或SteamOS 3.7.20修复。 9、OWASP CRS关键漏洞可绕过过滤器 https://securityonline.info/wafs-wide-open-critical-owasp-crs-flaw-bypasses-filters/ OWASP CRS防火墙规则集存在严重漏洞，攻击者可绕过安全过滤，威胁网站安全。该漏洞影响广泛，需紧急修复以防范潜在攻击。 10、高危 React Router 漏洞可导致服务器文件泄露 https://securityonline.info/critical-react-router-flaws-cve-2025-61686-exposes-server-files/ React Router库曝高危漏洞（CVE-2025-61686，CVSS 9.1），影响会话管理，可入侵服务器文件系统，同时存在多个XSS漏洞。建议立即升级至7.12.0或7.9.6版本修复。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Kimsuky黑客组织利用恶意二维码发起钓鱼攻击 https://thehackernews.com/2026/01/fbi-warns-north-korean-hackers-using.html 美国联邦调查局（FBI）发布预警，称朝鲜国家支持的Kimsuky组织正利用恶意二维码开展鱼叉式钓鱼（Quishing）攻击，目标涵盖美国智囊团、学术机构及美外国政府实体。攻击通过诱导受害者用防护较弱的移动设备扫码，绕过传统防御。该组织多次实施攻击，包括仿冒外国顾问、使馆人员等推送二维码，诱导访问受控基础设施或伪造登录页面窃取谷歌账号凭证。此类攻击常窃取会话令牌绕过多因素认证（MFA）劫持云身份，后续可建立持久控制并发起二次钓鱼，因源于未受管理 2、NodeCordRAT远控木马通过恶意NPM包进行传播 https://hackread.com/discord-nodecordrat-steal-chrome-data-npm-packages/ 研究人员发现，三款伪装成比特币库的恶意NPM包可传播NodeCordRAT远程控制木马，专门针对加密货币领域人群。这三款包名为bip40、bitcoin-lib-js、bitcoin-main-lib，累计下载量超3400次，仿冒合法bitcoinjs项目名称诱导开发者下载。安装前两款包会自动拉取含病毒的bip40，过程无任何提示。该木马通过Discord私人频道接收指令控制受感染设备，支持执行shell命令、截取桌面截图、窃取文件等操作，重点靶向 3、思科交换机因DNS客户端漏洞陷入重启循环 https://www.bleepingcomputer.com/news/security/cisco-switches-hit-by-reboot-loops-due-to-dns-client-bug/ 据报道，多款思科交换机因固件DNS客户端漏洞陷入反复重启循环，严重扰乱网络运营。该漏洞于凌晨2时左右开始显现，会将DNS解析失败判定为致命错误，导致设备重启，故障源于DNS客户端解析思科域名及NTP时间服务器时出错，重启周期仅数分钟。受影响型号包括CBS250、SG350、Catalyst C1200等系列，多个独立网络同期出现故障，推测为全球触发或时间相关条件所致。思科暂未公开根源， 4、委内瑞拉国有电信公司CANTV发生BGP泄露 https://securityonline.info/spy-games-or-glitch-the-truth-behind-venezuelas-bgp-leak/ 美国抓捕马杜罗军事行动前夕，委内瑞拉国有电信公司CANTV（AS8048）发生BGP泄露，部分分析人士猜测系美国政府蓄意劫持流量获取情报。但Cloudflare研究员经历史路由数据分析得出结论，该事件实为CANTV工程师技术失误与配置不当所致。2026年1月2日泄露发生时，CANTV流量异常转向安全声誉较差的意大利运营商Sparkle，但异常路径存在多次AS路径前置导致路由优先级极低，与刻意窃密行为不符。且CANTV自20 5、攻击者通过仿冒AI聊天的浏览器扩展窃取信息 https://hackread.com/fake-chatgpt-deepseek-extensions-spy-chrome-users/ 研究人员披露两款仿冒AI聊天的浏览器扩展暗中监视超90万Chrome用户，分别为“Chat GPT for Chrome with GPT-5”（60万安装量）和“AI Sidebar with Deepseek”（30万安装量）。两款扩展仿冒合法工具AITOPIA，其一还骗取谷歌“精选”标识，以“匿名分析”为由获取权限后，通过DOM抓取技术读取用户在ChatGPT、DeepSeek的聊天内容，每30分钟将提示词、AI回复、会话令牌等敏感数据发送至外 6、英国宣布强化公共部门网络防御计划 https://www.bleepingcomputer.com/news/security/uk-announces-plan-to-strengthen-public-sector-cyber-defenses/ 英国宣布一项新的网络安全战略，计划投入超2.1亿英镑（约合2.83亿美元）强化政府部门及更广泛公共部门的网络防御。该措施隶属于政府网络行动计划，将设立专门的政府网络部门协调风险管理与事件响应，旨在保障公民使用福利、医疗、税务等在线公共服务的安全。计划包含制定最低安全标准、提升政府网络风险可见性、要求部门具备强大应急响应能力等，还将推出软件安全大使计划，思科、帕洛阿尔托网络等多家 7、Astaroth银行木马利用WhatsApp在巴西传播 https://securityaffairs.com/186685/malware/astaroth-banking-trojan-spreads-in-brazil-via-whatsapp-worm.html 恶意软件Astaroth通过名为“Boto Cor-de-Rosa”的新活动，借助WhatsApp网页版以蠕虫形式传播。攻击始于含恶意ZIP文件的WhatsApp消息，用户打开后会运行伪装的VBScript脚本，下载并安装Astaroth木马及Python编写的WhatsApp传播模块。该恶意软件分为两大模块：传播模块窃取受害者WhatsApp联系人列表，自动发送含恶意ZIP的葡 8、Veeam发布安全更新修复软件中的多个漏洞 https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/ Veeam发布安全更新修复其Backup & Replication软件中的多个漏洞，含高危远程代码执行（RCE）漏洞CVE-2025-59470，该漏洞影响13.0.1.180及更早13系列版本，授权操作员可通过恶意参数执行代码。此次更新还修复另两个高危（CVE-2025-55125）和中危漏洞，攻击者可通过恶意备份配置文件或密码参数实现RCE。Veeam备份软件广泛应用 9、攻击者利用“MAESTRO”工具包实现ESXi虚拟机逃逸 https://securityonline.info/vm-isolation-is-not-absolute-researchers-unmask-sophisticated-esxi-maestro-exploit/ 攻击者利用“MAESTRO”工具包实现VMware ESXi虚拟机逃逸，夺取底层虚拟机管理程序控制权。攻击始于SonicWall VPN账号泄露，经横向移动后部署工具包，通过禁用VMware驱动、BYOVD技术加载恶意驱动突破防御。逃逸后，攻击者不再依赖防火墙可能捕捉到的标准网络连接，而是部署“VSOCKpuppet”后门，利用VSOCK通道隐蔽通信规避网络监控，VSOC 10、伊朗在全国抗议期间发生大规模互联网中断 https://techcrunch.com/2026/01/08/internet-collapses-in-iran-amid-protests-over-economic-crisis/ 据网络监测机构消息，伊朗在全国抗议期间发生大规模互联网中断。伊朗互联网陷入“近乎全面断网”状态，NetBlocks、Cloudflare等多家机构均监测到该国网络连接量骤降。此次断网源于2025年12月底爆发的全国抗议，抗议由货币大幅贬值引发，导致商品短缺、物价飙升，德黑兰传统集市部分商铺已停业11天，伊朗政府对抗议者实施了暴力镇压。伊朗网络安全研究员指出，对互联网拥有严密控制权的伊朗政府是此次断网的 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、GoBrut僵尸网络针对区块链项目数据库发起攻击 https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/ GoBruteforcer（又称GoBrut）是一款Go语言编写的模块化僵尸网络，通过暴力破解Linux服务器的FTP、MySQL、PostgreSQL及phpMyAdmin等服务密码入侵，传播依赖网页木马、下载器、IRC控制端等多模块链条。2025年发现的新版本新增高度混淆IRC控制端、强化持久化机制、进程隐藏技巧及动态凭证列表等 2、研究人员发现jsPDF存在一个路径穿越漏洞 https://www.endorlabs.com/learn/cve-2025-68428-critical-path-traversal-in-jspdf JavaScript应用PDF生成库jsPDF存在高危漏洞CVE-2025-68428，CVSS评分9.2，攻击者可利用该漏洞通过生成的PDF文件窃取本地文件系统中的敏感数据。该漏洞为本地文件包含及路径遍历漏洞，存在于4.0版本之前的jsPDF中，因loadFile函数未对文件路径进行验证，若传入用户可控输入作为路径，会导致本地文件内容被嵌入生成的PDF中。受影响的还包括addImage、html等调用loadFile的文件加载方法， 3、Sedgwick在遭受勒索软件攻击后证实数据泄露 https://securityaffairs.com/186525/data-breach/sedgwick-discloses-data-breach-after-tridentlocker-ransomware-attack.html 全球领先的理赔管理与风险服务提供商Sedgwick确认其联邦承包商子公司Sedgwick Government Solutions遭遇网络安全事件，此前TridentLocker勒索软件团伙于新年前夜声称窃取该公司3.4GB数据。Sedgwick业务覆盖80多个国家，员工约3.3万人，年收入达40-50亿美元，其子公司为美国国土安全部、移民海关执法局等多 4、ownCloud敦促用户在凭证被盗后启用多因素认证 https://cybersecuritynews.com/owncloud-urges-mfa/ ownCloud紧急敦促社区版用户启用多因素认证（MFA），此前哈德逊岩石（Hudson Rock）的威胁情报报告显示，包括部分ownCloud部署在内的自托管文件共享平台遭攻击者入侵，但ownCloud强调其平台本身未被攻破。分析表明，攻击者未利用ownCloud架构中的零日漏洞，而是通过RedLine等信息窃取恶意软件感染员工终端获取登录凭证，进而入侵未启用MFA的ownCloud实例。ownCloud指出，事件根源为自托管环境配置不当，用户虽可使用MFA却未启用。为降低风险，ownClo 5、研究人员揭露复杂ESXi"Maestro"虚拟机逃逸漏洞 https://www.freebuf.com/articles/system/465509.html Huntress战术响应团队最新报告披露，2025年12月发现一起复杂入侵事件，攻击者成功实施"虚拟机逃逸"攻击，突破客户虚拟机限制，完全控制了底层的VMware ESXi管理程序。该攻击很可能利用了公开披露前一年多就已开发的0Day漏洞工具包，直接挑战了虚拟化技术的基础安全承诺。 6、Linux主流电源管理工具TLP曝高危认证绕过漏洞 https://www.freebuf.com/articles/system/465490.html Linux笔记本广泛使用的电源管理工具TLP近日曝出高危安全漏洞，可能允许未授权用户绕过认证检查并篡改系统设置。该漏洞由SUSE安全团队在例行软件包审查时意外发现。该漏洞编号为CVE-2025-67859，影响TLP 1.9.0版本引入的新功能"profiles daemon"。这个以root权限运行的守护进程通过D-Bus API管理电源设置，但其Polkit认证机制存在逻辑错误，导致安全防护形同虚设。 7、GitLab高危XSS与AI漏洞威胁用户数据安全 https://www.freebuf.com/articles/web/465492.html GitLab已针对其社区版（CE）和企业版（EE）平台发布关键安全更新，修复了从高危跨站脚本（XSS）到未经授权的AI模型访问等一系列漏洞。本次发布的18.7.1、18.6.3和18.5.5版本已可立即获取，强烈建议自托管用户尽快升级。 8、LockBit 5.0 现世：采用新型复杂加密与反分析技术 https://www.freebuf.com/articles/database/465420.html 作为全球最活跃的勒索软件即服务（RaaS）运营组织之一，LockBit 5.0 近日浮出水面。该组织自 2019 年 9 月出现以来，持续发动复杂攻击。这一新版本在威胁态势中展现出重大演变，引入了强化的加密机制和先进的反分析能力，使得企业检测和恢复的难度呈指数级增长。 9、"幽灵点击"攻击激增：新型安卓恶意软件将手机变为数字扒手 https://www.freebuf.com/articles/endpoint/465467.html 即使银行卡从未离开钱包，你的智能手机也可能成为盗贼清空银行账户的唯一帮凶。Group-IB最新报告揭示，支持NFC功能的安卓恶意软件正在暗网市场激增，研究人员将这种复杂应用命名为"幽灵点击"（Ghost Tap），它能在受害者信用卡与盗贼POS终端之间建立物理桥梁。这种高科技盗窃手段正通过TG渠道在全球蔓延。 10、热门实用工具 "Office 助手"遭劫持，被用于投放浏览器恶意软件 https://www.anquanke.com/post/id/314188 奇安信威胁情报中心红滴（RedDrip）团队监测到一起大规模恶意软件传播事件，恶意程序藏身于一款国内热门办公效率工具中。这款名为 “Office 助手” 的软件，因具备 AI 文档生成及各类办公辅助功能而在国内被广泛使用，如今却被发现会加载恶意组件，投放一款名为Mltab的浏览器劫持插件。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Kimwolf僵尸网络感染数百万台安卓设备 https://hackread.com/android-tv-streaming-devices-infected-kimwolf-botnet/ 研究人员近期发现Aisuru DDoS僵尸网络的安卓变种Kimwolf自去年8月以来已感染超200万设备，主要瞄准安卓智能电视和廉价流媒体盒子。该僵尸网络特殊之处在于诸多设备出厂前已被植入恶意代码，用户开机联网后数分钟内，黑客即可入侵家庭网络。全球范围内越南、巴西等国受害者集中，67%受感染设备无任何防护。黑客通过出租设备带宽（低至0.2美元/GB）、秘密安装应用赚取佣金、提供DDoS租用服务牟利，其发起的攻击流量峰值达29.7太比特/秒。 2、D-Link多款老旧路由器曝远程代码执行漏洞 https://securityonline.info/cve-2026-0625-critical-actively-exploited-rce-hits-unpatchable-d-link-routers/ 研究人员警告，D-Link多款老旧DSL路由器存在高危远程代码执行（RCE）漏洞CVE-2026-0625，CVSS v4.0评分达9.3，目前已被野外活跃利用，数千台无法修复的设备面临全面入侵风险。该漏洞位于路由器DNS配置界面的dnscfg.cgi端点，因输入验证不当，未授权远程攻击者可直接通过web界面注入并执行任意shell命令。受影响端点曾与2016-2019年DNSCh 3、谷歌修复了Android中的杜比解码器漏洞 https://securityaffairs.com/186591/security/google-fixes-critical-dolby-decoder-bug-in-android-january-update.html 谷歌在2026年1月的Android安全更新中，修复了高危杜比音频解码器漏洞CVE-2025-54957，该漏洞由谷歌Project Zero研究员于2025年10月发现，此前已在2025年12月率先为Pixel手机修复，目前补丁已向所有Android设备推送。漏洞存在于杜比DD+解码器中，处理特制DD+比特流时会因整数溢出导致越界写入，可能覆盖指针；在Androi 4、谷歌发布 Android 安全公告，修复 107 个漏洞 https://cyberscoop.com/android-security-update-december-2025/ Google 在 1月7日 发布了大规模的 Android 安全更新，共修复了 107 个漏洞，其中包括两个已被利用的零日漏洞。此次更新重点解决了移动设备操作系统中的内核权限提升和远程代码执行风险，建议 Android 用户尽快检查更新。 5、 微软警告内部域名伪造攻击激增 https://securityonline.info/microsoft-warns-of-surge-in-internal-domain-spoofing/ 微软报告揭示攻击者利用邮件路由配置缺陷绕过安全过滤，发送伪装内部的可信邮件，主要针对非Office 365直接路由的企业。PhaaS经济推动攻击规模化，Tycoon2FA平台成工具。建议实施严格DMARC策略和SPF硬失效防御。 6、恶意扩展窃取90万用户的ChatGPT与DeepSeek对话记录 https://cybersecuritynews.com/malicious-chrome-extension-steal-data/ 两款恶意Chrome扩展窃取90万用户ChatGPT和DeepSeek对话及浏览历史，伪装成AITOPIA工具，通过虚假权限窃取数据并上传至攻击者服务器，威胁用户隐私和企业机密，建议立即卸载相关扩展。 7、研究人员提出自动化数据投毒方案应对AI模型窃取威胁 https://www.csoonline.com/article/4113463/automated-data-poisoning-proposed-as-a-solution-for-ai-theft-threat.html 中、新团队研发AURA技术，通过向知识图谱注入虚假数据保护专有信息，授权用户可过滤假数据，未授权系统准确率降至5.3%。专家意见不一，有赞其创新性，也有质疑防御效果。AI安全发展滞后，需构建更完善防护体系。 8、0Day漏洞Chronomaly可获取Linux内核root权限 https://securityonline.info/zero-day-chronomaly-exploit-grants-root-access-to-vulnerable-linux-kernels/ Linux内核高危漏洞CVE-2025-38352（CVSS 7.4）被武器化，攻击者可利用竞态条件提权。研究员发布PoC工具"Chronomaly"，适用于v5.10.x内核，已在0Day攻击中被利用。谷歌已发布补丁，建议立即更新。 9、Chrome 143 版本修复高危 WebView 漏洞 https://securityonline.info/google-patches-high-severity-webview-flaw-in-chrome-143/ 谷歌紧急修复Chrome高危漏洞CVE-2026-0628，涉及WebView标签安全策略失效，可能导致沙箱突破。补丁已推送至各平台，建议用户立即更新。漏洞由研究员发现，技术细节暂不公开以防攻击。 10、Dify 补丁修复高危明文 API 密钥泄露漏洞 https://securityonline.info/cve-2025-67732-dify-patch-fixes-high-severity-plaintext-api-key-exposure/ Dify开源平台修复高危漏洞CVE-2025-67732，该漏洞会明文暴露API密钥，允许非管理员用户获取凭证，可能导致财务损失和服务滥用。建议用户立即升级至1.11.0版本。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者通过伪造Windows蓝屏传播远控木马 https://www.securonix.com/blog/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection/ 研究人员近期发现一起恶意软件活动，该活动采用ClickFix攻击，利用蓝屏死机动画诱导用户执行恶意代码，利用可信工具MSBuild.exe规避防御，部署DCRat远控木马，实现完全远程控制及二次payload投放，专门瞄准假日旺季的酒店行业。活动初始通过仿冒Booking.com预订取消邮件诱导用户点击链接，跳转至仿冒页面，以虚假 2、黑客团伙入侵了美国光纤宽带公司Brightspeed https://www.securityweek.com/brightspeed-investigating-cyberattack/ 美国光纤宽带提供商Brightspeed正调查一起网络攻击事件，知名黑客团伙Crimson Collective宣称入侵其系统，窃取了超100万用户的个人信息。Brightspeed业务覆盖20个州，服务超100万企业及家庭用户，其发言人回应称正调查该网络安全事件，将及时告知用户、员工及相关部门，并强调重视网络安全与信息保护。Crimson Collective声称窃取的信息包括姓名、账单地址、邮箱、电话等个人信息，以及账户状态、支付详情、服务记录等客户数据 3、新型macOS TCC绕过漏洞使攻击者可窃取敏感用户数据 https://securityonline.info/new-tcc-bypass-cve-2025-43530-exposes-macos-to-unchecked-automation/ 研究人员披露macOS系统TCC（透明、同意与控制）隐私框架存在漏洞CVE-2025-43530，该漏洞利用辅助功能工具缺陷可完全绕过用户隐私保护。漏洞位于支持VoiceOver功能的ScreenReader.framework模块中，攻击者通过操纵com.apple.scrod服务的私有API，无需用户授权提示即可执行恶意命令。其核心问题在于验证逻辑存在两处缺陷：过度依赖代码签名（信任所有苹果签名进 4、NordV*PN否认数据泄露称攻击者仅窃取虚拟数据 https://www.esecurityplanet.com/threats/nordvpn-says-breach-claims-involve-dummy-test-data/ NordV*PN否认近期数据泄露传言，称所谓被窃取数据实为第三方隔离测试环境中的虚拟测试数据，无任何客户数据、生产系统或有效凭证受损。此次传言源于黑客1011在黑客论坛宣称从NordVPN开发服务器窃取超10个数据库，含Salesforce API密钥等敏感开发资产，声称通过暴力破解配置不当系统获取。经NordVPN内部调查确认，涉事数据并非来自其生产或开发基础设施，而是数月前试用第三方自动化测试平台时创建的临 5、Ledger由于第三方数据泄露暴露客户个人信息 https://www.coindesk.com/markets/2026/01/05/crypto-wallet-firm-ledger-faces-data-breach-through-global-e-partner 加密货币钱包公司Ledger正遭遇一起数据泄露事件，泄露源于其第三方支付处理商Global-e的云系统被未授权访问。据Global-e发送给客户的邮件显示，Ledger用户的姓名、联系方式等个人信息遭泄露，但未披露受影响用户数量及攻击发生时间。Ledger回应称，此次泄露并非自身平台、硬件或软件系统被攻破，相关系统仍安全，且用户支付信息、24助记词、区块链余额等数字资产 6、Cursor等多款基于VSCode衍生的AI驱动IDE存在安全隐患 https://www.bleepingcomputer.com/news/security/vscode-ide-forks-expose-users-to-recommended-extension-attacks/ 研究人员发现Cursor、Windsurf等多款基于VSCode衍生的AI驱动IDE存在安全隐患，其推荐的部分扩展在OpenVSX注册表中不存在，可能被攻击者抢占命名空间并上传恶意扩展。这些衍生IDE因授权限制无法使用VSCode官方扩展商店，转而依赖开源的OpenVSX市场，但继承了配置文件中硬编码的官方推荐扩展列表（指向微软应用商店）。推荐扩展分文件触发式和软件检测式两 7、n8n平台高危漏洞，认证用户可执行系统命令 https://www.freebuf.com/articles/system/465132.html 开源工作流自动化平台n8n近日披露一个高危安全漏洞（CVE-2025-68668），已认证的攻击者可利用该漏洞在底层主机上执行任意系统命令。该漏洞CVSS评分为9.9分，被归类为保护机制失效问题。 8、臭名昭著的Scattered Lapsus$ Hunters重出江湖 https://www.freebuf.com/articles/es/465166.html 在针对Salesforce第三方集成（包括Gainsight和Salesloft）的高调供应链攻击沉寂一段时间后，臭名昭著的Scattered Lapsus$ Hunters威胁组织已重出江湖。地下Telegram频道和凭证交易论坛的最新活动显示，该组织已重建运营架构，并针对内部人员和初始访问经纪人发起大规模招募行动。 9、京东云路由器曝严重漏洞黑客可直接获取root 权限 https://www.anquanke.com/post/id/314126 京东云旗下多款主流 NAS 路由器被曝出安全漏洞，该漏洞或导致数以千计的家庭及企业网络完全暴露在攻击风险之下。此漏洞影响该品牌多款路由器型号，远程攻击者可借此彻底绕过身份验证机制，并以最高权限执行任意命令。该漏洞编号为CVE-2025-66848，CVSS 评分高达 9.8 分 —— 这一评分等级专用于界定危害性最大、最易被利用的高危漏洞。 10、AdonisJS 高危漏洞支持任意文件写入及远程代码执行 https://www.anquanke.com/post/id/314123 一款以易用性与高效性著称的主流全栈式 Node.js Web 框架AdonisJS，被曝出严重安全漏洞。该漏洞 CVSS 评分高达 9.2 分，存在于框架的文件上传处理模块中，远程攻击者可借此覆盖服务器敏感系统文件，甚至可能实现远程代码执行（RCE）。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、VVS窃密木马利用Pyarmor混淆逃避检测 https://unit42.paloaltonetworks.com/vvs-stealer/ 一款名为VVS（又称VVS $tealer）的窃密木马以Discord用户为攻击目标，核心能力包括窃取Discord账号凭证、令牌等数据，通过注入拦截活跃会话，以及提取多款浏览器的Cookie、密码、浏览历史和自动填充信息。该窃取器基于Python开发，早在2025年4月便已在Telegram平台售卖并处于活跃开发阶段，还能通过自动安装至启动项实现持久化，同时显示虚假错误信息、截取屏幕以隐蔽运行。其代码通过Pyarmor工具混淆，阻碍静态分析和特征检测，Pyarmor本可合法使用，却被恶意用于构 2、攻击者伪造WordPress域名续订钓鱼邮件窃取信用卡信息 https://malwr-analysis.com/2025/12/31/fake-wordpress-domain-renewal-phishing-email-stealing-credit-card-and-3-d-secure-otp/ 研究人员发现一类伪造WordPress域名续订通知的钓鱼邮件，以“域名续费即将到期，即将面临服务中断”为由催促收件人立即行动。该邮件存在多处红色预警信号，包括未提及具体域名、使用“立即行动”等紧迫话术、采用通用问候语，且号召性按钮会将用户导向攻击者搭建的虚假支付平台而非WordPress官方站点。尽管话术专业精致以规避垃圾邮件过滤，但核心目的是诱导 3、伊顿UPS软件曝任意代码执行漏洞 https://securityonline.info/eaton-ups-software-flaws-expose-systems-to-high-risk-code-execution/ 伊顿公司于2025年12月24日发布公告，警告其UPS Companion（EUC）软件用户立即更新。公告披露两款严重漏洞，可让本地攻击者劫持软件并在主机系统执行任意代码，可能危及监控关键电源的计算机。其中CVE-2025-59887为不安全库加载漏洞（DLL劫持），攻击者将恶意文件放入安装程序同目录即可诱导软件加载恶意程序；CVE-2025-59888为未加引号搜索路径漏洞，Windows可能误读路 4、QNAP修复高危SQL注入与路径遍历漏洞 https://securityonline.info/qnap-patches-high-severity-sql-injection-and-path-traversal-flaws/ 网络存储公司QNAP发布系列安全公告，修复多款软件中的高危漏洞，这些漏洞可能导致攻击者窃取敏感数据、注入恶意代码或瘫痪核心服务。公告重点提及两个CVSS评分8.1的高危漏洞：Qfiling的路径遍历漏洞（CVE-2025-59384），远程攻击者可读取意外文件或系统数据，3.13.1及以上版本可修复；多应用恢复服务（MARS）的SQL注入漏洞（CVE-2025-59387），远程攻击者可执行未授权代码，1 5、PS5 BootROM密钥遭泄露，索尼安全防线崩塌 https://www.freebuf.com/articles/endpoint/464929.html 上周，一名身份不明的黑客泄露了索尼用于保护PlayStation 5游戏机信任链的关键安全密钥。这类被称为BootROM的安全密钥是索尼安全信任架构的核心组件。理论上，该密钥的曝光为未来针对游戏机的破解工作奠定了重要基础。 6、DarkSpectre将880万扩展程序变成间谍工具 https://www.freebuf.com/articles/web/464901.html Koi安全公司揭露了一起持续近十年的大规模国家背景网络间谍活动"DarkSpectre"，暴露了浏览器扩展生态系统的重大安全漏洞。该威胁组织通过近300个恶意扩展程序感染了超过880万Chrome、Edge和Firefox用户，构建了一个庞大的"休眠单元"网络。 7、全球超万台Fortinet防火墙仍受5年前MFA绕过漏洞威胁 https://cybersecuritynews.com/fortinet-firewalls-exposed/ 全球超1万台Fortinet防火墙仍暴露于高危漏洞CVE-2020-12812，攻击者通过修改用户名大小写即可绕过MFA认证。该漏洞影响6.4.0等旧版本，CVSS评分7.5，已被勒索软件利用。美国、泰国等地风险最高，建议升级固件并关闭非必要VPN服务。 8、网络犯罪分子滥用谷歌云邮件功能实施多阶段钓鱼攻击 https://thehackernews.com/2026/01/cybercriminals-abuse-google-cloud-email.html 攻击者滥用谷歌云服务发送伪装成官方通知的钓鱼邮件，利用可信地址绕过安全检测，14天内发送9394封邮件，针对全球3200名客户。通过多阶段重定向窃取凭证，主要攻击制造业等行业。谷歌已采取措施阻止滥用。 9、ShinyHunters报复性入侵声明翻车，进入Resecurity蜜罐 https://hackread.com/resecurity-shinyhunters-honeypot-breach/ 黑客组织ShinyHunters宣称入侵Resecurity窃取数据，实为落入蜜罐陷阱。Resecurity证实攻击者接触的是模拟环境，未泄露真实数据，成功记录其行为轨迹，事件系反情报策略的胜利。 10、透明部落针对印度政府及学术机构发起新型RAT攻击 https://thehackernews.com/2026/01/transparent-tribe-launches-new-rat.html 透明部落（APT36）近期对印度政府及学术机构发起攻击，使用伪装PDF的恶意LNK文件投放RAT木马，具备持久控制、数据窃取等功能，并针对不同杀毒软件调整持久化策略，凸显其高度战略驱动的网络间谍威胁。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT组织Careto沉寂十年后使用新的攻击技术卷土重来 https://cyberpress.org/careto-hacker-group/ 沉寂十年的APT组织Careto（又称The Mask）携新一波精密网络攻击回归。该组织2014年被Kaspersky曝光，以针对全球政府机构、外交组织等的精准攻击闻名。Kaspersky研究人员在第34届病毒公报国际会议披露，Careto自2019年起重新活跃，2024年仍有攻击活动，新攻击采用非常规技术且保留早期工具特征。2022年其攻击某拉美组织，攻陷MDaemon邮件服务器植入恶意扩展获取持久访问权，还滥用HitmanPro Alert驱动注入FakeHMP植入程序实现监控；2024年改用Goog 2、研究人员在GNU Wget2中发现安全漏洞 https://securityonline.info/critical-wget2-flaws-expose-users-to-arbitrary-file-overwrites-and-memory-crashes/ GNU Wget2曝出两项重大安全漏洞，攻击者只需诱骗用户下载文件，即可实现任意文件覆盖或系统崩溃。这两项漏洞编号为CVE-2025-69194和CVE-2025-69195，均瞄准工具核心文件处理逻辑，将常规下载操作转化为安全隐患。其中CVE-2025-69194为路径遍历漏洞，攻击者可通过构造含遍历序列或绝对路径的恶意Metalink文件，迫使工具突破下载目录限制，创建 3、攻击者利用信息窃取程序获取合法企业域名传播恶意软件 https://www.infostealers.com/article/from-victim-to-vector-how-infostealers-turn-legitimate-businesses-into-malware-hosts/ 2024至2025年，名为ClickFix的恶意攻击手段日趋成熟，该技术利用用户对系统界面的信任通过剪贴板传播恶意软件。Hudson Rock威胁情报团队分析发现，这并非简单攻击链，而是形成“今日受害者沦为明日攻击载体”的自我维持反馈循环，即网络犯罪的“衔尾蛇”模式。研究基于ClickFix Hunter平台追踪的1635个活跃域名与数百万受感染设备 4、GlassWorm针对macOS系统发起新一轮攻击 https://www.koi.ai/blog/glassworm-goes-mac-fresh-infrastructure-new-tricks GlassWorm新一轮攻击出现重大转变，从以往独家瞄准Windows平台转向仅针对macOS平台。攻击者此次平台迁移并非简单移植，而是专门打造适配macOS的有效载荷，全程采用平台专属技术，例如使用AppleScript实现隐蔽执行，替代此前Windows平台的PowerShell。攻击者选择迁移的核心原因在于，macOS用户群体中包含大量开发者，尤其集中在加密货币、Web3及初创企业领域，而这类群体正是GlassWorm攻击者意图攻陷的目标 5、攻击者通过伪造Eternl钱包公告进行钓鱼活动 https://cyberpress.org/fake-eternl-desktop-phishing-scam/ Cardano生态系统出现精密钓鱼活动，攻击者伪造热门Eternl钱包桌面版公告分发恶意软件。2025年12月下旬起，攻击者传播标题为“Eternl Desktop Is Live Secure Execution for Atrium & Diffusion Participants”的欺诈邮件。邮件内容贴合Cardano治理叙事，引用合法生态术语，承诺NIGHT和ATMA代币奖励，以“local-first, non-browser signing”为噱头，设计规范极具迷惑 6、黑客声称入侵了东京FM广播公司 https://cyberpress.org/threat-actor-allegedly-claims-breach-of-tokyo-fm-broadcasting-systems/ 黑客声称对日本主流广播公司东京FM广播公司（Tokyo FM Broadcasting Co., LTD.）实施了重大数据泄露攻击。据悉，此次涉嫌入侵发生于2026年1月1日，可能泄露数百万用户个人信息，引发新闻多媒体行业隐私担忧。根据威胁情报监测机构的网络警报，该黑客宣称成功渗透公司多个内部系统，窃取含超300万条记录的数据库。目前东京FM尚未官方确认此次泄露，事件处于“待验证”状态，网络安全分析师正核实 7、Apache StreamPipes高危漏洞可获取管理员权限 https://securityonline.info/cve-2025-47411-critical-apache-streampipes-flaw-allows-standard-users-to-seize-admin-control/ Apache软件基金会为其工业物联网自助工具StreamPipes发布高危漏洞修复补丁，该漏洞编号CVE-2025-47411，可被普通用户利用夺取完全管理员控制权。该漏洞评级为“重要”，影响0.69.0至0.97.0版本的Apache StreamPipes，成因是应用程序用户身份创建与验证的逻辑错误。攻击者可借助合法非管理员账户，通过操纵JWT会话 8、Aflac通知2265万人其敏感信息可能在数据失窃事件中泄露 https://www.govinfosecurity.com/aflac-notifies-226-million-people-june-data-theft-attack-a-30434 美国最大补充健康保险公司Aflac正通知2265万人，其社保号码等敏感健康和个人信息可能在2025年6月的数据失窃事件中泄露。该事件于2025年6月12日被发现，可疑活动数小时内得到控制，未涉及勒索软件且系统保持运行。Aflac随后采取了保障账户、重置密码等措施，调查确认未授权人员获取了客户、受益人等相关人员信息，但并非每人信息都完整泄露。目前Aflac为受影响者提供24个月免费信用监控等服务，暂未发 9、法国调查X平台上利用Grok生成的性相关深度伪造内容 https://securityaffairs.com/186460/ai/french-authorities-investigate-ai-undressing-deepfakes-on-x.html 法国当局将调查X平台上利用马斯克旗下xAI公司研发的Grok聊天机器人生成的性相关深度伪造内容，此前数百名女性及青少年举报个人照片被篡改生成“脱衣”图像在网上传播。1月2日，法国议员Arthur Delaporte和Eric Bothorel就数千条非自愿性相关深度伪造内容向检察官报案，巴黎检察官办公室表示已将该案纳入对X的现有调查，此类违法行为最高可判两年监禁及6万欧元罚款。法国三名部长 10、ESET警告：AI驱动的恶意软件攻击威胁全球网络安全 https://cybersecuritynews.com/eset-warns-ai-driven-malware-attack/ AI驱动恶意软件已成现实威胁，首个AI勒索软件PromptLock展现自适应攻击能力，结合勒索软件经济爆发，全球网络安全面临严峻挑战。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。