1、研究人员发现针对以色列水务基础设施恶意软件 https://www.darktrace.com/blog/inside-zionsiphon-darktraces-analysis-of-ot-malware-targeting-israeli-water-systems 一款名为"ZionSiphon"的OT恶意软件，专门针对以色列水处理及海水淡化系统发起攻击。该样本硬编码以色列境内IP地址范围（2.52.0.0/14、79.176.0.0/12等），并嵌入"支持伊朗、巴勒斯坦和也门反对犹太复国主义侵略"及"毒害特拉维夫和海法人口"等政治宣传字符串，明确指向意识形态驱动的网络攻击。该样本存在致命逻辑缺陷：其IP范围验证函数使用错误异 2、PowMix僵尸网络定向渗透捷克求职市场 https://blog.talosintelligence.com/powmix-botnet-targets-czech-workforce/ 新型"PowMix"僵尸网络自2025年12月起持续攻击捷克共和国各层级组织。攻击者冒充德国零售品牌EDEKA及捷克数据保护法监管机构，向人力资源、法律和招聘机构投递以合规为主题的钓鱼邮件，诱饵文件包含薪酬数据及真实法律条文，诱骗IT、金融、物流等行业求职者点击。研究人员观察到该活动与2025年8月ZipLine行动存在战术重叠，包括ZIP载荷隐藏、滥用Heroku平台及基于CRC32的ID生成，但攻击者最终意图尚未明确。 3、新型勒索软件JanaWare定向攻击土耳其 https://www.acronis.com/en/tru/posts/new-janaware-ransomware-targets-turkey-via-adwind-rat/ 新型勒索软件"JanaWare"正通过定制版Adwind远程访问木马（RAT）定向攻击土耳其用户。该恶意软件采用多态混淆技术，通过钓鱼邮件传播，利用Google Drive链接诱导受害者下载恶意JAR文件。其显著特征包括强制地理围栏机制——仅当系统区域设置为土耳其语且外部IP位于土耳其境内时才会激活，有效规避安全研究人员的自动化分析。 4、Taboola像素劫持银行会话流向Temu https://thehackernews.com/2026/04/hidden-passenger-how-taboola-routes.html 安全研究人员发现Taboola广告像素存在严重隐私漏洞。某欧洲金融平台审计显示，该平台批准的Taboola像素在未经用户同意的情况下，将已登录银行会话通过302重定向链秘密路由至Temu追踪端点。攻击链始于sync.taboola.com，经服务器重定向跳转至temu.com，并携带允许跨域传输凭证的响应头，使Temu能够读取银行用户的Cookie并建立追踪档案。 5、Fiverr用户敏感文件遭Google索引泄露 https://hackread.com/fiverr-left-user-files-open-to-google-search/ 安全研究员发现自由职业平台Fiverr数千份私人文件被Google索引，可在搜索结果中直接访问。泄露数据包括身份证、驾照、工作合同、密码、API密钥、税务记录和发票等敏感信息。问题源于Fiverr使用Cloudinary存储用户文件时采用公开URL而非签名或过期URL，且部分链接被放置在公开页面上导致搜索引擎爬取。研究员在40天前通知Fiverr安全团队但未获回复。Fiverr否认这是安全事件，声称用户已同意分享文件。 6、断电行动跨国打击7.5万DDoS攻击者 https://www.bleepingcomputer.com/news/security/operation-poweroff-identifies-75k-ddos-users-takes-down-53-domains/ 欧洲刑警组织协调21国执法部门开展"断电行动"（Operation PowerOFF）最新阶段，针对分布式拒绝服务（DDoS）攻击平台实施大规模打击。行动中已向超过7.5万名使用DDoS攻击服务的个人发出警告，逮捕4名嫌疑人，查封53个域名，并签发25份搜查令。此次行动重点打击"Booter服务"——即允许用户付费租用僵尸网络发起DDoS攻击的租赁平台。这些服务常被 7、Mirai新变种劫持TBK DVR设备发动DDoS攻击 https://www.fortinet.com/blog/threat-research/tracking-mirai-variant-nexcorium-a-vulnerability-driven-iot-botnet-campaign 研究人员发现新型Mirai变种恶意软件Nexcorium，专门针对TBK品牌数字录像机系统，将其转化为DDoS攻击僵尸。Mirai系列恶意软件通过利用物联网设备默认弱口令传播，曾发动过历史上最大规模的DDoS攻击。Nexcorium在传统Mirai功能基础上增加了对特定DVR硬件的针对性利用代码。安全研究人员建议用户修改设备默认密码，及时更新固件，并避 8、攻击者滥用QEMU虚拟机隐蔽部署勒索软件 https://www.sophos.com/en-us/blog/qemu-abused-to-evade-detection-and-enable-ransomware-delivery 安全研究人员近日披露，威胁组织正大规模滥用开源虚拟化工具QEMU构建隐蔽攻击环境，以规避终端安全检测并实现长期驻留。该手法已被GOLD ENCOUNTER等组织用于部署PayoutsKing勒索软件及凭证窃取活动。攻击者通过创建名为"TPMProfiler"的计划任务，以SYSTEM权限启动伪装成DLL文件的QEMU虚拟机镜像。由于恶意活动完全在虚拟层执行，主机端安全软件及审计日志均无法捕获取证证据。此 9、新型恶意软件CGrabber和Direct-Sys通过GitHub传播 https://hackread.com/cgrabber-direct-sys-malware-github-zip-files/ 研究团队发现一起复杂的多阶段恶意软件传播活动，成功绕过杀毒软件窃取用户数据。攻击者通过GitHub用户附件链接分发ZIP压缩包，其中包含合法微软签名程序Launcher_x64.exe。Direct-Sys Loader运行前会检测67种安全工具和虚拟机环境，确认处于研究人员沙箱时自动退出。CGrabber Stealer负责最终数据窃取，目标是Chrome等浏览器的密码、信用卡和Cookie，以及150多个加密钱包的私钥，甚至包括Telegram、Proto 10、攻击者伪造快递邮件投递SimpleHelp远控木马 https://www.malwarebytes.com/blog/news/2026/04/your-shipment-has-arrived-email-hides-remote-access-software 研究人员披露一起针对德国工业企业的精准钓鱼攻击。攻击者冒充DHL发送"货物到达"通知邮件，附件携带预配置的SimpleHelp远程访问工具，构建隐蔽持久化后门。该钓鱼邮件使用通用info@邮箱作为目标，发件人地址非DHL官方域名，邮件图片托管于雅虎云服务而非DHL自有基础设施。附件"AWB-Doc0921.pdf"实为伪装成PDF的模糊图片，诱导用户点击"继续"按钮后，从被入侵的 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、恶意软件AgingFly攻击乌克兰政府与医院 https://cert.gov.ua/article/6288271 安全研究团队披露新恶意软件家族AgingFly被用于针对地方政府和医院的攻击，目标还可能包括国防力量代表。攻击被归因于威胁集群UAC-0247。攻击始于冒充人道主义援助的钓鱼邮件，诱导目标点击链接跳转至被XSS漏洞入侵的合法网站或AI生成的伪造网站。攻击链使用LNK快捷方式启动HTA处理器，下载并执行shellcode注入合法进程。 2、黑客利用n8n自动化平台传播恶意软件 https://blog.talosintelligence.com/the-n8n-n8mare/ 研究人员披露威胁行为体自2025年10月起武器化n8n AI工作流自动化平台，用于传播钓鱼邮件和恶意载荷。n8n允许用户注册免费开发者账号获得托管云服务，创建自定义域名格式的webhook URL。攻击者将这些webhook链接嵌入声称共享文档的邮件中，用户点击后显示CAPTCHA验证码，完成后从外部主机下载恶意载荷。由于整个流程封装在HTML文档的JavaScript中，下载对浏览器而言似乎来自n8n域名。 3、HanGhost针对支付物流链发起无文件攻击 https://hackread.com/active-hanghost-loader-payment-logistic-workflow/ 新型HanGhost加载器攻击活动正针对企业财务与物流岗位人员实施打击。该攻击采用多阶段无文件执行链，通过混淆JavaScript触发PowerShell，在内存中直接运行.NET加载器，从伪装成无害图片的加密载荷中提取并执行恶意代码，全程不落盘以规避传统检测。攻击者可借此渗透支付系统拦截交易、篡改合同文档或破坏物流流程。该活动已传播包括PureHVNC、XWorm、Meduza、AgentTesla及Phantom在内的多种远控木马与窃密工具，部分案 4、WordPress多款插件被植入后门 https://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/ WordPress生态系统遭遇重大供应链安全事件，知名插件开发商EssentialPlugin于2025年被恶意买家收购后，其旗下20余款热门插件被系统性植入后门代码。攻击者利用PHP对象注入漏洞，通过控制的服务器下发恶意序列化载荷，可在数千个网站上执行任意文件写入操作，直接获取服务器完全控制权。该后门潜伏长达七个月，于2026年4月初被激活。受影响插件累计活跃安装量超10万次，涵盖WP Logo 5、签名软件滥用更新机制禁用杀毒软件 https://www.bleepingcomputer.com/news/security/signed-software-abused-to-deploy-antivirus-killing-scripts/ 研究人员发现数字签名的广告软件工具以SYSTEM权限部署载荷，在数千端点上禁用杀毒软件防护，涉及教育、公用事业、政府和医疗行业。单日观察到超过23500台感染主机在124个国家尝试连接运营者基础设施，其中324台位于高价值网络。该软件由Dragon Boss Solutions LLC签名，被多家安全方案标记为PUP的工具。更新机制检索伪装为GIF图片的MSI载荷，当前仅5家安全厂 6、nginx-ui漏洞遭在野利用可接管服务器 https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html 开源Web端Nginx管理工具nginx-ui中发现关键漏洞CVE-2026-33032（CVSS 9.8），已被在野利用。该漏洞被命名为MCPwn。漏洞源于MCP集成暴露的两个HTTP端点：/mcp需要IP白名单和认证，而/mcp_message仅应用IP白名单且默认白名单为空被视为允许所有。成功利用后攻击者可拦截所有流量并获取管理员凭据。漏洞已在2.3.4版本修复，Shodan显示约2689个实例暴露在互联网上。 7、Splunk Enterprise与云平台漏洞可导致远程代码执行攻击 https://www.freebuf.com/articles/system/477558.html 一项影响 Splunk Enterprise 和云平台多个版本的关键安全漏洞（CVE-2026-20204）已被官方披露。该高危漏洞 CVSS 评分为 7.1，对企业网络构成严重威胁。据 Splunk 研究员 Gabriel Nitu 发现并报告，攻击者可利用此漏洞实施远程代码执行（RCE）攻击。由于 Splunk 通常处理敏感日志数据与安全指标，系统管理员需立即关注该 RCE 漏洞。 8、Codex 利用全局可写驱动接口破解三星电视获取 Root 权限 https://cybersecuritynews.com/codex-hacks-samsung-tv/ OpenAI的Codex AI模型利用三星智能电视全局可写的ntk*驱动接口，成功将浏览器级权限提升至root，暴露了厂商在设备安全设计上的严重缺陷。研究显示AI能自主发现并利用漏洞，无需人工引导，警示厂商需严格审计第三方驱动权限。 9、Qwen将推出网络安全版本，对标GPT-5.4-Cyber https://www.secrss.com/articles/89457 OpenAI 昨天刚宣布扩展网络安全专属访问计划——最高级别的认证防御者，可以申请使用 GPT-5.4-Cyber，一个专为安全场景微调过的版本。通义千问团队的用户Terry Yue Zhuo 今早在 X 平台转发 OpenAI 公告，表示 “也即将推出。 10、国家信息安全漏洞库通报OpenClaw 63个安全漏洞 https://www.secrss.com/articles/89455 根据国家信息安全漏洞库（CNNVD）统计，自2026年4月3日-2026年4月13日，共采集OpenClaw漏洞63个，其中高危漏洞19个，中危漏洞43个、低危漏洞1个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw多个版本受到漏洞影响。目前，OpenClaw官方已经发布了更新修复漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、108个恶意Chrome扩展共享基础设施窃取数据 https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2 研究人员发现一场涉及108个恶意Chrome扩展程序的大规模攻击活动，这些扩展程序通过共享的C2基础设施协同运作，在Chrome网上应用商店的总安装量约2万次。攻击者以五个不同发布商身份分发恶意扩展，涵盖Telegram客户端、游戏、翻译工具等类别。其中54个扩展窃取Google账户身份信息（邮箱、姓名、持久标识符），1个扩展每15秒窃取Telegram Web会话，45个扩展内置通用后门可在浏览器启动时打开任意URL。截至报 2、新型安卓木马Mirax在欧洲快速传播 https://www.cleafy.com/cleafy-labs/mirax-a-new-android-rat-turning-infected-devices-into-potential-residential-proxy-nodes 安全研究机构披露新型安卓木马Mirax，通过Meta平台广告传播，覆盖Facebook、Instagram、Messenger和Threads超过22万账户。Mirax集成高级远程访问木马能力，允许攻击者实时完全交互控制感染设备。除传统木马行为外，Mirax通过SOCKS5协议支持和Yamux多路复用建立持久代理通道，将感染设备转化为住宅代理节点，攻 3、ViperTunnel后门针对英美企业发起攻击 https://hackread.com/ransomware-vipertunnel-malware-uk-us-businesses/ 安全研究人员发现Python后门ViperTunnel针对英国和美国企业Windows服务器，与DragonForce勒索软件存在关联。ViperTunnel具备持久化驻留能力，允许攻击者在目标网络内横向移动，为后续勒索软件部署铺平道路。该恶意软件使用Python编写，通过多种方式建立后门访问，为勒索软件攻击者提供网络侦察和权限提升能力。攻击主要针对使用Windows服务器的企业环境。 4、Microsoft Defender 0Day漏洞可导致权限提升攻击 https://www.freebuf.com/articles/system/477401.html 微软已发布周二补丁更新，修复Microsoft Defender反恶意软件平台中新发现的0Day漏洞。该漏洞于2026年4月14日披露，编号为CVE-2026-33825，被评定为"重要"级别。若成功利用，该权限提升漏洞可使攻击者绕过标准权限限制，在受影响设备上获取完整的SYSTEM权限。 5、OpenAI发布具备逆向、漏洞与恶意软件分析功能的GPT-5.4-Cyber版本 https://www.freebuf.com/articles/ai-security/477407.html OpenAI正式推出GPT-5.4-Cyber，这是其旗舰模型GPT-5.4的网络安全专用版本，专为高级防御性网络安全工作流优化。该版本为经过审查的安全专业人员提供了比标准模型更少限制的扩展功能，包括二进制逆向工程、漏洞扫描和恶意软件分析能力。 6、研究人员逆向分析出可禁用 CrowdStrike EDR 的 0Day 漏洞 https://cybersecuritynews.com/0-day-disable-crowdstrike-edr/ 研究人员发现新型BYOVD攻击技术，利用合法签名但含漏洞的驱动完全绕过EDR系统，可静默终止CrowdStrike等安全进程。该驱动携带微软签名且杀毒引擎零检测，凸显操作系统对签名驱动的信任盲区。 7、Booking[.]com确认数据泄露事件，黑客窃取客户预订信息 https://hackread.com/booking-com-data-breach-hackers-customer-details/ Booking[.]com遭针对性攻击致客户预订数据泄露，含姓名、邮箱等敏感信息，支付数据未受影响。平台已重置PIN码并警告钓鱼风险，但未公布入侵细节和影响规模。专家警告用户需警惕高仿真钓鱼攻击，验证所有索要财务信息的通信。 8、微软 SharePoint Server 0Day漏洞遭在野利用 https://cybersecuritynews.com/sharepoint-server-0-day-vulnerability/ 微软确认SharePoint Server存在0Day欺骗漏洞（CVE-2026-32201）正遭在野利用，影响多个版本，CVSS评分6.5。漏洞允许远程攻击者实施欺骗攻击，无需认证或特权。微软已发布补丁，建议企业紧急更新并限制外部访问，防范横向移动和凭证窃取风险。 9、伪造Claude AI安装程序滥用DLL侧加载传播PlugX木马 https://securityaffairs.com/190754/malware/fake-claude-ai-installer-abuses-dll-sideloading-to-deploy-plugx.html 仿冒Anthropic Claude的虚假网站通过ZIP传播PlugX木马，利用DLL侧加载技术绕过检测。恶意软件伪装成合法安装程序，连接远程服务器并自删痕迹。PlugX木马常被用于间谍活动，此次结合AI热点进行社会工程攻击。 10、遇袭期间，伊朗境内大量美国制造的通信设备集体“失灵” https://www.secrss.com/articles/89408 据伊朗法尔斯通讯社14日报道，在伊朗中部伊斯法罕省遇袭期间，伊朗境内大量美国制造的通信设备突然失灵，操作系统崩溃。报道说，出故障的通信设备全部来自美国的思科、飞塔和Juniper等品牌。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、GlassWorm新变种利用Zig投放器窃取密钥 https://thehackernews.com/2026/04/glassworm-campaign-uses-zig-dropper-to.html 安全研究人员发现GlassWorm攻击活动出现新变种，通过恶意Open VSX扩展，利用Zig编译的本地二进制文件感染开发者计算机上的所有IDE。该扩展伪装成流行的WakaTime编程时间追踪工具，目前已被下架。攻击者在沙箱外执行Zig编写的Node.js原生插件，获取完整操作系统权限。并静默安装的第二阶段恶意扩展。该扩展模仿合法工具通过Solana区块链获取C2指令，窃取敏感数据并部署远程访问木马。 2、OpenAI应对Axios供应链攻击轮换macOS证书 https://openai.com/index/axios-developer-tool-compromise/ OpenAI披露其macOS应用签名流程受第三方库Axios供应链攻击影响，已启动证书轮换程序。2026年3月31日，攻击者通过入侵的Axios版本1.14.1渗透GitHub Actions工作流，该工作流可访问ChatGPT Desktop、Codex等应用的macOS签名证书。尽管技术分析认为证书可能未被成功窃取，OpenAI仍出于谨慎吊销旧证书。 3、AWS工具包曝"上帝模式"权限提升漏洞 https://unit42.paloaltonetworks.com/exploit-of-aws-agentcore-iam-god-mode/ AWS Amazon Bedrock AgentCore入门工具包默认部署存在严重权限提升漏洞。该工具包自动创建的IAM角色授予AI代理账户级全域权限，而非单资源限制，形成"代理上帝模式"攻击路径。攻击者一旦攻破单个代理，即可利用过度权限泄露专有ECR镜像、访问其他代理记忆、调用所有代码解释器并提取敏感数据。攻击链涉及三阶段：首先利用ECR通配符权限拉取目标镜像，接着从容器配置中恢复MemoryID，最终跨代理窃取或篡改对话历史。 4、ShowDoc高危漏洞遭野外利用 https://thehackernews.com/2026/04/showdoc-rce-flaw-cve-2025-0520-actively.html 安全研究人员披露广受欢迎的文档协作平台ShowDoc存在的高危漏洞CVE-2025-0520（CVSS评分9.4）已被攻击者积极利用。该漏洞源于文件扩展名验证不当导致的不受限文件上传，攻击者无需认证即可上传PHP文件并执行任意代码，实现远程代码接管。据监测，已有攻击利用该漏洞向美国蜜罐服务器投放Web Shell。目前全球超过2000个ShowDoc在线实例暴露于风险中。该漏洞早在2020年10月发布的2.8.7版本中已修复，当前最新版 5、wolfSSL关键漏洞允许使用伪造证书 https://www.bleepingcomputer.com/news/security/critical-flaw-in-wolfssl-library-enables-forged-certificate-use/ wolfSSL SSL/TLS库中发现关键漏洞CVE-2026-5194，在检查ECDSA签名时对哈希算法或其大小的验证不当，可能削弱安全性。攻击者可利用此问题强制目标设备或应用程序接受恶意服务器或连接的伪造证书。wolfSSL是用C语言编写的轻量级TLS/SSL实现，专为嵌入式系统物联网设备工业控制系统路由器家电传感器汽车系统甚至航空航天或军事设备设计。 6、黑客冒充OpenSSF领袖瞄准开发者发起网络钓鱼 https://hackread.com/openssf-malware-slack-linux-foundation-figures/ 研究人员披露一起针对软件开发人员的Slack钓鱼攻击。攻击者冒充Linux基金会知名领导人，在开源社区工作区发送私信，以"秘密AI代码预测工具"为诱饵，诱导开发者安装恶意根证书及后门程序。该攻击采用高度定制化社会工程手段，声称工具"仅向少数人分享"，并提供虚假邮箱及访问密钥增强可信度。受害者被引导至仿冒Google Workspace页面，输入信息后需安装伪装成谷歌证书的恶意根证书，该证书可绕过安全机制、解密网络流量并窃取数据。该攻击手法与近期归因于朝鲜国 7、欧洲健身巨头遭入侵百万会员数据泄露 https://www.bleepingcomputer.com/news/security/european-gym-giant-basic-fit-data-breach-affects-1-million-members/ 欧洲最大健身连锁品牌Basic-Fit披露一起严重数据泄露事件。据其官方声明，黑客未经授权访问了记录会员到访信息的系统，导致约100万名会员个人信息遭窃取，涉及荷兰、比利时、卢森堡、法国、西班牙及德国六国。经调查确认，泄露数据包括会员姓名、住址、电子邮箱、电话号码、出生日期、银行账户详情及其他会员信息。Basic-Fit强调，其系统监控程序在数分钟内即发现并阻止了入 8、FBI跨国查封W3LL钓鱼平台并抓捕开发者 https://www.fbi.gov/contact-us/field-offices/atlanta/news/fbi-atlanta-indonesian-authorities-take-down-global-phishing-network-behind-millions-in-fraud-attempts 美国联邦调查局亚特兰大分局联合印尼当局开展首次跨国协调执法行动，成功捣毁全球知名钓鱼平台"W3LL"，查封其基础设施并逮捕核心开发者。该平台作为全方位网络犯罪工具市场，曾促成超2.5万个被盗账户交易，涉案金额逾2000万美元。W3LL钓鱼工具套件售价500美元，采用中间人攻击 9、Claude在数分钟内发现存在13年的ActiveMQ RCE漏洞 https://www.csoonline.com/article/4157146/claude-uncovers-a-13%E2%80%91year%E2%80%91old-activemq-rce-bug-within-minutes.html Claude AI 发现潜伏13年的Apache ActiveMQ高危RCE漏洞（CVE-2026-34197），AI仅用10分钟完成人工需一周的分析，利用管理API缺陷实现远程代码执行。该漏洞已修复，凸显AI在漏洞挖掘中的高效能力。 10、微软未经用户同意在Windows强制安装Copilot遭Mozilla抨击 https://cybersecuritynews.com/mozilla-criticizes-microsoft-for-copilot/ Mozilla谴责微软未经用户同意在Windows强制部署Copilot，通过自动安装、硬件预设和误导性UI剥夺用户选择权。微软虽撤回部分集成，但暴露其牺牲用户权益的商业策略。Mozilla强调AI应由用户主导，而非平台强制推行，呼吁行业重视用户同意与隐私保护。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Rockstar Games遭ShinyHunters勒索攻击 https://hackread.com/shinyhunters-rockstar-games-snowflake-breach-anodot/ ShinyHunters黑客组织声称通过SaaS平台Anodot入侵Rockstar Games的Snowflake环境，可能持有关键数据面临泄露风险。该消息于4月11日发布，设定最后期限为4月14日，属于典型的勒索模式。攻击不同于直接入侵，攻击者指出Anodot作为云成本监控和分析平台是其入侵入口。Rockstar Games此前曾遭遇重大数据泄露，攻击者要求支付赎金否则公开泄露GTA VI相关开发资料。此次事件再次凸显第三方SaaS供应商带来 2、Apple AI智能防护措施在攻击中被绕过 https://www.securityweek.com/apple-intelligence-ai-guardrails-bypassed-in-new-attack/ 研究人员使用神经执行方法和Unicode操作绕过Apple Intelligence的AI防护。研究人员演示了如何通过精心构造的输入绕过Apple Intelligence的安全guardrails。该攻击方法称为神经执行，利用AI模型处理特殊Unicode字符时的漏洞。此发现凸显了AI系统安全面临的独特挑战，即使是被设计为安全的AI系统也可能被绕过。建议AI开发者实施更强的输入验证和内容过滤机制。 3、医学影像服务器Orthanc被曝9个高危漏洞 https://kb.cert.org/vuls/id/536588 研究人员披露开源医学影像服务器Orthanc 1.12.10及更早版本存在9个高危安全漏洞。该软件广泛应用于全球医疗机构的DICOM影像存储与传输系统，同时也用于医疗机构存储和传输医学影像如X光片和CT扫描。这些漏洞可被攻击者利用造成拒绝服务、信息泄露和任意代码执行。医疗设备漏洞尤其危险，因为它们直接影响患者护理安全，医疗组织应确保DICOM服务器不直接暴露于互联网并应用最新安全更新。 4、FBI利用通知预览功能成功恢复已删除的Signal消息 https://hackread.com/fbi-recover-deleted-signal-messages-iphone-notifications/ FBI成功从被告的iPhone中恢复已删除的私人Signal消息，即使该应用已被删除。案件涉及2025年7月德克萨斯州一个拘留中心的袭击事件。调查人员通过Cellebrite取证工具从iPhone的推送通知数据库中提取数据。当消息到达时，手机会在屏幕上显示预览，该预览由手机操作系统处理而非Signal应用。即使Signal删除了消息，手机系统也会在其自身记录中保存预览副本。用户可以通过关闭通知预览功能来防止此类数据泄露，这涉及iPhon 5、国际执法行动识别数万名加密货币欺诈受害者 https://www.bleepingcomputer.com/news/security/police-identifies-20-000-victims-in-international-crypto-fraud-crackdown/ 英国国家犯罪局NCA领导的国际执法行动识别出超过2万名加密货币欺诈受害者，主要分布在加拿大、英国和美国。行动针对复杂的加密货币投资诈骗网络，诈骗者通过社交媒体和虚假网站诱骗受害者投资不存在的加密项目。NCA与多国执法机构协调追踪资金流向并查封相关资产。此次行动是更大规模打击加密货币犯罪的一部分，展示了国际执法合作在打击跨境网络犯罪中的重要作用。 6、Axios 曝出高危漏洞可导致远程代码执行 https://www.freebuf.com/articles/web/477137.html 网络安全社区近日高度戒备，起因是广泛使用的基于 Promise 的 HTTP 客户端 Axios（适用于 Node.js 和浏览器）曝出严重安全漏洞。安全研究员 Jason Saayman 披露该漏洞可无限制泄露云元数据，攻击者无需任何直接用户交互即可执行远程代码或攻陷整个云环境。 7、通过CLAUDE.md文件可操控Claude Code实施SQL注入攻击 https://hackread.com/claude-code-claude-md-sql-injection-attacks/ LayerX发现Claude Code的CLAUDE.md文件可被利用绕过安全规则，使攻击者无需编码即可实施SQL注入和窃取凭证。AI无条件信任文件指令，厂商未及时响应，建议严格审查此类文件。 8、佛罗里达州对ChatGPT展开调查 涉与校园枪击案关联 https://siliconangle.com/2026/04/09/florida-ag-opens-probe-chatgpt-alleging-connection-fsu-shooting/ 佛罗里达州调查OpenAI，指控其ChatGPT涉嫌协助校园枪击案，危害儿童及国家安全。枪手曾与AI讨论犯罪细节，遇难者家属计划起诉。OpenAI回应称持续改进技术安全性。 9、谷歌预警引发连锁反应：Cloudflare正积极调整抗量子加密战略优先级 https://www.csoonline.com/article/4156822/cloudflare-actively-adjusting-quantum-priorities-in-wake-of-google-warning.html 谷歌将抗量子加密部署提前至2029年，引发行业连锁反应。量子计算突破加速传统加密淘汰，企业需建立密码敏捷性应对未来解密风险。Cloudflare等巨头已调整战略，过半流量采用新标准防护。行业呼吁制定迁移战略与性能标准。 10、黑客利用Claude Code与GPT-4.1窃取墨西哥数亿条政府记录 https://www.freebuf.com/articles/ai-security/477020.html 网络安全研究公司Gambit Security披露，一名黑客在2025年12月至2026年2月期间，通过操纵Claude Code（AI编程助手）和OpenAI的GPT-4.1，成功入侵了墨西哥九家政府机构。研究人员在详细报告中指出，攻击者访问州级和联邦系统的速度远超人工安全团队的响应能力，其中约75%发送至政府计算机的远程命令由Claude Code执行。该黑客累计提交1,088条指令，在34次实时会话中生成5,317条操作命令，仅用数小时就将陌生网络转化为清晰标记的攻击目标， 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、WordPress插件遭劫持被用于投放恶意软件 https://patchstack.com/articles/critical-supply-chain-compromise-in-smart-slider-3-pro-full-malware-analysis/ WordPress流行插件Smart Slider 3的更新机制遭劫持，用于向网站投放恶意软件。攻击者入侵插件开发者的更新服务器，将合法更新替换为包含恶意载荷的版本。安装被劫持更新的网站自动感染恶意软件，可能被用于窃取用户数据、注入恶意广告或发动进一步攻击。Smart Slider 3安装量超过数百万，此次供应链攻击影响范围广泛。插件开发者已发布清理更新并敦促用户立即升级。 2、EngageSDK漏洞致加密钱包面临数据泄露风险 https://www.microsoft.com/en-us/security/blog/2026/04/09/intent-redirection-vulnerability-third-party-sdk-android/ 安全研究团队披露广泛使用的第三方Android SDK EngageSDK（版本4.5.4及更早版本）存在严重意图重定向漏洞，导致超过3000万次安装的第三方加密钱包应用面临个人身份信息、用户凭证及财务数据泄露风险。该漏洞存在于SDK导出的Activity组件中，攻击者可利用同一设备上的恶意应用向该组件发送精心构造的Intent，借助URI_ALLOW_UNSAFE 3、VENOM钓鱼平台窃取高管登录凭证 https://www.bleepingcomputer.com/news/security/new-venom-phishing-attacks-steal-senior-executives-microsoft-logins/ 研究人员披露新型网络钓鱼即服务（PhaaS）平台"VENOM"，该平台自2024年11月起针对多行业首席执行官、首席财务官及副总裁等C级高管发起定向攻击。VENOM采用封闭式运营模式，未在公共渠道及地下论坛推广，增加了研究人员的发现难度。攻击者冒充微软SharePoint文档共享通知发送高度个性化钓鱼邮件，内嵌伪造邮件往来记录及随机HTML代码以增强可信度。邮件包 4、ChipSoft遭勒索软件攻击影响多家医院 https://www.bleepingcomputer.com/news/security/healthcare-it-solutions-provider-chipsoft-hit-by-ransomware-attack/ 荷兰医疗IT解决方案提供商ChipSoft遭受勒索软件攻击，影响多家医院。ChipSoft为荷兰医疗行业提供软件解决方案，其系统被入侵后导致依赖其服务的医院运营受到影响。勒索软件组织声称窃取了敏感数据并威胁公开泄露。荷兰当局正在调查此次攻击，受影响医院已采取应急措施确保患者护理连续性。此次攻击凸显了供应链风险，单一服务提供商被入侵可能影响整个行业。 5、欧洲铁路公司确认数据泄露影响30万人 https://www.bleepingcomputer.com/news/security/eurail-says-december-data-breach-impacts-300-000-individuals/ 欧洲铁路旅行运营商Eurail BV于2026年4月9日披露，2025年12月26日发生的数据泄露事件导致超过30.8万名旅客个人信息遭窃，包括全名、护照号码、身份证号码、银行账户IBAN、健康信息及联系方式。攻击者已在Telegram发布数据样本并试图在暗网出售。Eurail建议用户警惕网络钓鱼及诈骗，立即更新Rail Planner应用密码，并在其他平台重置相同密码，同时密 6、Lazarus组织在美国注册公司传播恶意软件 https://www.reversinglabs.com/blog/graphalgo-campaign-respawned 研究人员发现针对区块链开发者的新诈骗活动，黑客注册真实美国法律公司欺骗受害者。作为朝鲜关联Lazarus组织的一部分，黑客运行graphalgo活动，创建名为Blocmerce的佛罗里达州LLC，建立模仿合法公司SWFT Blockchain的账户，甚至以Blockmerce和Bridgers Finance名义运营虚假业务。他们还提交官方州文件，列出虚假CEO Alexandre Miller。攻击者通过虚假工作机会诱骗开发者下载恶意软件，窃取加密货币钱包和敏感信 7、伊朗APT组织攻击罗克韦尔PLC设备 https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/ 多部门联合披露，与伊朗伊斯兰革命卫队网络电子司令部关联的APT组织正对暴露于互联网的罗克韦尔自动化/艾伦-布拉德利PLC发起定向攻击。该组织曾用"CyberAv3ngers"等身份活动，此次利用合法厂商软件直接访问目标设备，无需零日漏洞即可操纵HMI/SCADA显示数据。数据显示全球5219台相关设备暴露于互联网，其中美国占比74.6%，大量设备通过蜂窝调制解调器接入。安全机构建议相关基础设施运营方立即加强网络防护。 8、CPUID遭供应链攻击推送恶意软件 https://www.bleepingcomputer.com/news/security/supply-chain-attack-at-cpuid-pushes-malware-with-cpu-z-hwmonitor/ 黑客获取CPUID项目API访问权限，修改官方网站下载链接以推送流行工具CPU-Z和HWMonitor的恶意可执行文件。这两个实用程序拥有数百万用户，用于跟踪计算机内部硬件健康和系统规格。最近下载任一工具的用户报告官方下载门户指向Cloudflare R2存储服务并获取木马化版本的HWiNFO，另一个来自不同开发者的诊断监控工具。恶意文件名为HWiNFO_Monitor 9、Marimo笔记本RCE漏洞公开后遭在野利用 https://www.sysdig.com/blog/marimo-oss-python-notebook-rce-from-disclosure-to-exploitation-in-under-10-hours 开源Python笔记本工具Marimo中发现关键安全漏洞CVE-2026-39987，CVSS评分9.3分，在公开披露后10小时内即遭在野利用。该漏洞为预认证远程代码执行漏洞，影响0.20.4及之前所有版本。与其他正确调用validate_auth函数进行身份验证的WebSocket端点不同，该端点仅检查运行模式和平台支持就接受连接，完全跳过身份验证。攻击者无需任何凭据即可通过 10、Webloc广告监控系统全球部署曝光 https://citizenlab.ca/research/analysis-of-penlinks-ad-based-geolocation-surveillance-tech/ 研究人员揭露由以色列Cobwebs Technologies开发、现由Penlink销售的Webloc全球地理位置监控系统。该系统通过移动应用和数字广告收集数据，监控全球数亿用户，客户涵盖美国ICE、军方、匈牙利情报机构及萨尔瓦多警方等。Webloc作为Tangles情报平台的附加组件，可追踪5亿台移动设备的GPS坐标、Wi-Fi位置、设备信息及用户画像，支持三年历史数据回溯。技术分析显示，Cobwebs服务器 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT28部署PRISMEX木马攻击乌克兰及北约盟国 https://thehackernews.com/2026/04/apt28-deploys-prismex-malware-in.html 俄罗斯APT组织Pawn Storm（又称APT28、Forest Blizzard）被确认针对乌克兰及其盟友发起鱼叉式钓鱼攻击，部署名为PRISMEX的全新恶意木马。PRISMEX结合了先进隐写术、组件对象模型劫持和滥用合法云服务进行命令控制。攻击活动自2025年9月起活跃，目标包括乌克兰政府部门，水文气象、国防和应急服务，以及波兰铁路物流、罗马尼亚和土耳其的海运交通、斯洛伐克和捷克的弹药计划后勤支持伙伴和军事北约合作伙伴。 2、ClickFix新变种利用MacOS脚本编辑器绕过终端防护 https://www.jamf.com/blog/clickfix-macos-script-editor-atomic-stealer/ 安全研究人员近日监测到一种新型ClickFix攻击变种正在针对macOS用户。攻击者伪造苹果官方"磁盘空间清理"页面，诱导用户点击"执行"按钮。脚本编辑器随即启动并运行经混淆处理的curl命令，通过管道直连zsh下载第二阶段载荷。该载荷经base64编码及gzip压缩隐藏，最终释放Atomic Stealer信息窃取木马至/tmp目录执行，可窃取用户敏感数据。 3、UNC6783组织窃取Zendesk支持工单 https://www.bleepingcomputer.com/news/security/google-new-unc6783-hackers-steal-corporate-zendesk-support-tickets/ 研究人员披露名为UNC6783的威胁组织通过入侵业务流程外包提供商来获取高价值公司访问权限，窃取Zendesk支持工单中的敏感数据。数十家企业通过此方法遭遇数据泄露，攻击者利用社工钓鱼和社会工程攻击来入侵BPO提供商。UNC6783可能在实时聊天社工攻击中伪装成目标公司的支持或帮助台员工，引导其访问模仿目标公司的Okta登录页面。该钓鱼工具包可窃取剪贴板内容以绕过M 4、黑客利用SVG隐写术攻击电商平台窃取信用卡 https://sansec.io/research/svg-onload-magecart-skimmer 研究人员发现一场大规模Magecart信用卡窃取攻击利用SVG元素隐写技术，成功入侵99家Magento在线商店。攻击者通过注入1x1像素不可见SVG元素，将完整窃取器载荷经base64编码后隐藏于onload属性中。这段代码会抢先弹出一个假的付款页面有锁头标志、卡号验证等。顾客输入银行卡信息后，数据就被偷偷发给黑客，然后页面自动跳转到真正的结账页面，顾客根本发现不了异常。被窃取的数据会发送到6个由黑客控制的服务器，地址都在荷兰。 5、Masjesu商业物联网僵尸网络持续活跃 https://www.trellix.com/blogs/research/masjesu-rising-stealth-iot-botnet-ddos-evasion/ 研究人员发现Masjesu商业物联网僵尸网络自2023年初运行至今，以隐蔽性为核心，通过Telegram推广DDoS攻击租赁服务。该僵尸网络针对多种架构的物联网设备，采用XOR加密技术规避检测，利用多厂商设备漏洞传播，配备多域名C2基础设施，支持多种DDoS攻击方式。该僵尸网络通过进程伪装、cron任务实现持久化，刻意规避美国国防部等黑名单IP，攻击源涵盖多国，越南流量占比近50%。 6、ActiveMQ被曝忽视十余年高危RCE漏洞 https://horizon3.ai/attack-research/disclosures/cve-2026-34197-activemq-rce-jolokia/ 安全研究人员使用Claude AI助手发现Apache ActiveMQ Classic中存在一个13年未被发现的远程代码执行漏洞。该漏洞由Claude通过分析独立开发组件之间的交互方式识别，追踪为CVE-2026-34197，CVSS评分8.8。漏洞影响5.19.4之前的Apache ActiveMQ Broker版本以及6.0.0至6.2.3的所有版本。由于ActiveMQ在企业、网络后端、政府和Java系统构建中广泛部 7、攻击者利用Kubernetes配置错误从容器渗透至云账户 https://cybersecuritynews.com/hackers-exploit-kubernetes-misconfigurations/ Kubernetes因配置错误和身份滥用成为攻击热点，威胁激增282%。黑客利用服务账户令牌窃取渗透云账户，甚至侵入金融系统窃取数百万美元。建议实施最小权限、短期令牌和运行时监控，防范集群到云的横向攻击。 8、Docker高危漏洞可绕过授权机制获取宿主机访问权限 https://thehackernews.com/2026/04/docker-cve-2026-34040-lets-attackers.html Docker Engine曝出高危漏洞CVE-2026-34040（CVSS 8.8），攻击者可构造特殊API请求绕过AuthZ插件防护，创建特权容器获取宿主机root权限。AI代理可能利用该漏洞自动化攻击。建议升级至29.3.1版本或启用rootless模式缓解风险。 9、CUPS漏洞链可使远程攻击者以root权限执行恶意代码 https://cybersecuritynews.com/cups-vulnerability-remote-attack/ CUPS存在高危漏洞链（CVE-2026-34980和CVE-2026-34990），允许攻击者绕过认证执行恶意代码并提权至root。建议禁用共享遗留队列、限制网络暴露并启用强制访问控制，目前尚无官方补丁。 10、 光纤电缆变身隐蔽麦克风：新型窃听技术可秘密监听对话 https://cybersecuritynews.com/fiber-optic-cables-microphones/ 2026年NDSS研讨会上，研究人员展示了一种利用FTTH光纤进行隐蔽声学窃听的技术，通过DAS系统监测光纤振动，可50米外高精度窃听对话，且无法被射频扫描或超声波干扰器检测。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、伊朗黑客大规模攻击美国关键基础设施，涉及电网水厂等 https://www.cisa.gov/news-events/irans-cyber-activity-against-us-critical-infrastructure 美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）、能源部以及美国网络司令部（U.S. Cyber Command）于 4 月 8 日联合发布警告，伊朗关联威胁行为者正在针对美国关键基础设施（能源、水处理、制造）中暴露于互联网的操作技术（OT）设备发起持续攻击，包括可编程逻辑控制器（PLC）和人机界面（HMI）。 2、木马 NoVoice 感染全球 230 万台安卓设备 https://www.mcafee.com/blogs/internet-security/operation-novoice-android-malware-mcafee-research/ 卡巴斯基、McAfee 发布最高级别安全预警：代号 NoVoice 的新型系统级木马，已深度感染全球超 230 万台安卓手机，国内感染量突破 90 万台，且每天仍以约 5 万台的速度新增，覆盖华为、小米、OPPO、vivo 等所有主流品牌，安卓 10 到安卓 14 全版本都有风险。 3、中央网信办、工信部、公安部启动 2026 年个人信息保护系列专项行动 https://www.cac.gov.cn/2026-04/02/c_1776867645836849.htm 中央网信办、工业和信息化部、公安部于 4 月 2 日联合发布公告，正式启动 2026 年个人信息保护系列专项行动，精准打击违法违规收集、滥用个人信息行为，全方位守护隐私安全。此次专项行动覆盖七大重点领域：1.App、SDK 违法违规收集使用个人信息专项治理；2. 互联网广告领域违法违规收集使用个人信息专项治理；3. 教育领域违法违规收集使用个人信息专项治理；4. 交通领域违法违规收集使用个人信息专项治理；5. 卫生健康领域违法违规收集使用个人信息专项治理；6. 金融领域违法违规收 4、Fortinet FortiClient EMS 发现双重高危 RCE 漏洞 https://securityarsenal.com/blog/cve-2026-35616-forticlient-ems-actively-exploited-ir-guide-and-defensive-hardening Fortinet FortiClient Enterprise Management Server（EMS）中发现两个严重的未认证远程代码执行漏洞（CVE-2026-21643、CVE-2026-35616），CVSS 评分均为 9.8，已在野外被活跃利用。CISA 已将这两个漏洞添加到已知被利用漏洞（KEV）目录，并要求联邦机构在 2026 年 4 月 11 日 5、荷兰医疗软件供应商 Chipsoft 遭勒索软件攻击 https://www.theregister.com/2026/04/08/chipsoft_ransomware/ 2026 年 4 月 7 日，荷兰网络安全中心 Z-CERT 收到通知，医疗软件供应商 Chipsoft 遭受勒索软件攻击。Z-CERT 正在与 Chipsoft、医疗机构及其合作伙伴保持联系，评估攻击对医疗系统的影响。这一事件表明医疗行业仍面临严重的网络安全威胁，勒索软件攻击可能导致医疗服务中断，影响患者安全。 6、俄罗斯APT组织劫持路由器实施DNS攻击 https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/ 研究人员发现俄罗斯军事情报组织"森林暴雪"（Forest Blizzard）自2025年8月起大规模入侵家庭及小型办公室路由器，通过篡改DNS设置实施域名劫持与中间人攻击。该组织利用dnsmasq工具控制DNS解析，将受害者流量导向恶意服务器，进而对Microsoft Outlook等TLS加密连接发起攻击，窃取敏感 7、黑客利用ComfyUI漏洞组建挖矿僵尸网络 https://censys.com/blog/comfyui-servers-cryptomining-proxy-botnet/ 研究人员发现针对互联网暴露的ComfyUI实例的活跃攻击活动，ComfyUI是一个流行的稳定扩散平台。攻击者使用专门构建的Python扫描器持续扫描主要云IP范围寻找易受攻击的目标，自动安装恶意节点。成功入侵后，受感染主机被添加到加密货币挖矿作业中，使用XMRig挖掘门罗币并使用lolMiner挖掘Conflux，同时还被添加到Hysteria V2僵尸网络中。两者都通过基于Flask的命令控制C2仪表板集中管理。 8、Docker Engine发现高危授权绕过漏洞 https://www.cyera.com/research/one-megabyte-to-root-how-a-size-check-broke-dockers-last-line-of-defense 研究人员披露Docker Engine高危漏洞（CVE-2026-34040，CVSS 8.8）。该漏洞存在于授权中间件，当API请求体超过1MB时，系统会在安全插件检查前静默丢弃请求体，导致攻击者可通过填充JSON数据绕过权限控制，创建特权容器并获取宿主机root权限。当前官方已发布补丁。建议立即升级，并在授权插件中配置空请求体默认拒绝策略，部署多层监控机制检测异常容器创建行为。 9、Ninja Forms插件关键漏洞遭在野利用 https://www.wordfence.com/blog/2026/04/50000-wordpress-sites-affected-by-arbitrary-file-upload-vulnerability-in-ninja-forms-file-upload-wordpress-plugin/ WordPress Ninja Forms文件上传高级插件中发现关键漏洞CVE-2026-0740，CVSS评分高达9.8分，目前已在攻击中被积极利用。该漏洞允许未经身份验证的攻击者上传任意文件，可能导致远程代码执行。Ninja Forms是一个流行的WordPress表单构建器，下载量超 10、Snowflake遭数据窃取第三方集成商成攻击入口 https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/ 云数据平台Snowflake披露其少数客户账户出现异常活动，攻击者通过入侵SaaS集成提供商窃取身份验证令牌实施数据盗窃。Snowflake已冻结可能受影响的账户并通知客户，强调自身系统未遭入侵。攻击者利用窃取的令牌试图访问包括Salesforce在内的多个数据源，虽被AI检测系统拦截部分攻击，但仍成功从十余家企业窃取数据。臭名昭著的ShinyHun 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、伊朗黑客针对中东云环境发起密码喷洒攻击 https://thehackernews.com/2026/04/iran-linked-password-spraying-campaign.html 研究人员发现一个与伊朗有关联的威胁行为体于2026年3月分三波次针对中东地区Microsoft 365环境发起大规模密码喷洒攻击。该活动主要瞄准以色列和阿联酋，波及以色列300余个组织及阿联酋25个组织，欧洲、美国等地亦有少数目标中招。攻击者利用Tor出口节点对数百个组织实施密集型密码喷洒，重点锁定市政当局、能源部门及航空卫星领域。研究人员以中等置信度将此次攻击归因于"灰沙风暴"组织，其作案手法与伊朗利益高度契合。 2、LiteLLM攻击将开发者终端变为凭证窃取工具 https://thehackernews.com/2026/04/how-litellm-turned-developer-machines.html TeamPCP黑客组织于2026年3月对热门AI开发库LiteLLM发起供应链攻击，向PyPI平台的1.82.7和1.82.8版本中注入信息窃取恶意软件。该攻击将开发者机器系统性转化为凭证收集节点，波及范围远超预期。恶意软件利用开发者终端明文存储密钥的普遍现状，窃取SSH密钥、AWS/Azure/GCP云凭证及Docker配置等敏感数据。尽管PyPI在数小时内下架恶意版本，但已有1705个软件包配置为自动拉取受感染版本作为依赖项，包括月下载 3、研究人员警告Flowise AI平台漏洞被积极利用 https://www.linkedin.com/feed/update/urn:li:activity:7446686314562850817/ 威胁行为体正在积极利用Flowise开源AI平台中的最高严重性安全漏洞CVE-2025-59528进行攻击，该漏洞CVSS评分满分10.0分。这是一个代码注入漏洞，可导致远程代码执行。研究人员发现超过12000个Flowise实例暴露在互联网上，攻击者可以利用该漏洞在目标服务器上执行任意代码。Flowise已在2025年9月发布的安全公告中披露了该漏洞并提供了修复方案。 4、研究人员开发出GPUBreach新型攻击技术 https://www.freebuf.com/articles/system/476442.html 研究人员开发出一种名为GPUBreach的新型攻击技术，可通过诱发GDDR6显存Rowhammer位翻转破坏GPU页表（PTE），使非特权CUDA内核获得任意GPU内存读写权限，进而利用NVIDIA驱动程序漏洞实现CPU端权限提升，最终获取root shell。研究团队已于2025年11月向NVIDIA、谷歌、AWS及微软披露该漏洞。对于消费级无ECC显卡，该漏洞目前完全无法缓解；企业级Hopper和Blackwell数据中心GPU默认启用的系统级纠错码（SLCC）可提供防护。完整技术细节 5、研究人员公开Windows Defender 0Day漏洞利用代码 https://cybersecuritynews.com/windows-defender-0-day-exploit/ 网络安全研究员公开Windows本地提权0Day漏洞BlueHammer，影响最新系统，可获取最高权限。披露因不满微软安全响应流程低效，漏洞利用代码已公开，威胁行为者可能快速利用。建议监控权限提升活动并限制用户权限，微软暂未回应。 6、黑客利用Reddit伪造TradingView高级会员帖分发窃密木马 https://cybersecuritynews.com/hackers-use-fake-tradingview-premium-posts/ 威胁组织在Reddit伪造免费TradingView Premium帖子，分发Vidar和AMOS窃密木马，针对Windows和macOS用户。攻击者利用劫持账号发布LLM生成内容，托管恶意负载于合法网站，通过技术手段规避检测。建议企业阻止相关域名并监控异常下载行为，警惕未签名应用和凭证验证。 7、谷歌漏洞奖励计划2025年支出达700万美元创历史新高 https://cybersecuritynews.com/googles-bug-bounty-program-high-reward/ 2025年谷歌漏洞奖励计划创纪录发放700万美元奖金，同比增长40%，700多名白帽黑客参与。新增AI漏洞专项奖励，举办多场黑客活动推动社区合作，开源工具补丁计划成效显著，全球安全会议强化合作，众包安全研究成为抵御新兴威胁的核心战略。 8、领英被曝偷扫6000多个浏览器插件，你的求职意向它全知道 https://www.secrss.com/articles/89144 2026 年 3 月底，德国非营利组织 Fairlinked 发布了一份代号为“BrowserGate”的技术调查报告，核心指控非常直接：每当你访问领英官网，隐藏在网页中的 JavaScript 代码就会静默扫描你的浏览器，检测你安装了哪些扩展程序，然后将结果加密传回领英服务器及一家第三方网络安全公司。 9、谷歌发布AI智能体攻击图谱：互联网成最大风险源 https://www.secrss.com/articles/89181 Google DeepMind研究人员指出，恶意网页内容可用于操纵、欺骗并利用在互联网中自主导航的AI智能体。研究人员已识别出六类针对AI智能体的攻击，这些攻击可通过网页内容发起，并能注入恶意上下文、触发异常行为。 10、OpenSSH 10.3 发布，修复 Shell 注入及其他安全漏洞 https://www.freebuf.com/articles/system/476346.html OpenSSH 项目发布了 10.3 版本及其可移植版本 10.3p1。在三月下旬短暂的测试阶段后，这一重大更新解决了多个重要的安全漏洞。最重要的修复措施防止了一个危险的 shell 注入漏洞，这使得本次更新成为全球系统管理员必不可少的升级。OpenSSH 仍然是 SSH 协议 2.0 的领先实现，提供安全的加密通信。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、F5高危漏洞致上万台设备处于风险中 https://www.bleepingcomputer.com/news/security/over-14-000-f5-big-ip-apm-instances-still-exposed-to-rce-attacks/ 互联网安全监控组织Shadowserver发现超过14000台F5 BIG-IP APM设备仍暴露在互联网上，正遭受针对关键远程代码执行漏洞的持续攻击。该漏洞CVE-2025-53521此前已被CISA列入已知被利用漏洞目录，CVSS评分已升至9.8分。F5 BIG-IP作为企业网络边缘认证枢纽被广泛部署，其漏洞可能成为攻击者获取初始访问的跳板。尽管供应商已发布安全更新 2、ShinyHunters威胁泄露思科逾300万条记录 https://hackread.com/shinyhunters-hackers-cisco-records-data-leak/ 知名黑客组织ShinyHunters向思科发出最终警告，限其在4月3日前联系否则将公开泄露据称窃取的超过300万条Salesforce记录及相关数据。ShinyHunters声称通过三条路径获取数据：UNC6040、Salesforce Aura和被攻陷的AWS账户。泄露数据包括Salesforce记录、个人身份信息、GitHub仓库、AWS存储桶和内部企业数据。 3、FortiClient EMS零日漏洞遭在野利用 https://cybersecuritynews.com/fortinet-forticlient-ems-0-day/ Fortinet发布紧急补丁修复FortiClient EMS中已被积极利用的零日漏洞CVE-2026-35616，该漏洞CVSS评分9.1分。未经身份验证的攻击者可完全绕过API认证和授权控制，在受影响系统上执行任意代码或命令。攻击基于网络且复杂度低，对部署在互联网上的EMS系统尤其危险。仅FortiClient EMS 7.4.5和7.4.6版本受影响，Fortinet已提供紧急补丁，永久修复将在7.4.7版本中提供。 4、Progress ShareFile双漏洞可致服务器被接管 https://cybersecuritynews.com/progress-sharefile-vulnerability/ 研究人员发现Progress ShareFile Storage Zones Controller 5.x版本中存在两个严重漏洞CVE-2026-2699（CVSS 9.8）和CVE-2026-2701（CVSS 9.1），攻击者无需登录即可接管暴露在互联网上的本地服务器。第一个漏洞为身份验证绕过，第二个漏洞允许通过恶意文件上传实现远程代码执行。据估计约有3万个该控制器实例暴露在互联网上，极易成为勒索软件攻击目标。Progress已于4月2日发布修复补丁，建议用户升 5、研究人员发现设备代码钓鱼攻击激增37倍 https://pushsecurity.com/blog/device-code-phishing/ 滥用OAuth 2.0设备授权流程的设备代码钓鱼攻击今年激增超过37倍。攻击者向服务提供商发送设备授权请求获取代码，以各种借口发送给受害者，诱导其在合法登录页面输入代码，从而授权攻击者设备通过有效的访问和刷新令牌访问账户。该流程原本用于简化没有便捷输入选项的设备连接，如IoT设备、打印机、流媒体设备和智能电视。研究人员观察到此类攻击被网络犯罪分子广泛采用，EvilTokens钓鱼即服务平台成为最突出的攻击工具包。 6、虚假ChatGPT广告拦截扩展监视用户 https://hackread.com/fake-chatgpt-ad-blocker-chrome-extension-spy-users/ 研究人员发现名为ChatGPT Ad Blocker的恶意Chrome扩展在官方Chrome Web Store上可供下载。当用户打开ChatGPT时，扩展执行DOM克隆过程，创建页面所有内容的副本，然后过滤掉图像和样式以专注于文本用户的私人提示和AI的回答。扩展标记任何超过150个字符的文本并将整个对话发送到Discord私有频道。虽然用户以为只是在阻止广告显示，扩展实际上一直在监视他们与ChatGPT AI聊天机器人的对话。该扩展已于2026年 7、AI公司Mercor确认泄露4TB数据 https://hackread.com/ai-firm-mercor-breach-hackers-4tb-data/ AI公司Mercor确认遭受与开源工具LiteLLM供应链攻击相关的安全事件。攻击者发布了两个恶意版本的LiteLLM PyPI包（版本1.82.7和1.82.8），虽然被感染包仅存在约40分钟，但影响窗口巨大。TeamPCP和Lapsus组织声称窃取了4TB敏感数据和内部系统访问权限。Mercor确认事件正在处理中，该攻击是影响全球数千家组织的大规模供应链攻击的一部分。 8、多个恶意npm包针对Strapi CMS发起供应链攻击 https://safedep.io/malicious-npm-strapi-plugin-events-c2-agent/ 攻击者利用四个傀儡npm账户发布36个伪装成Strapi CMS插件的恶意包，对加密货币支付平台Guardarian实施定向供应链攻击。攻击时间跨度13小时，包含八种不同攻击载荷，展现清晰的战术演进路径。攻击初期采用Redis远程代码执行、Docker容器逃逸等激进手段，后期转向侦察与持久化。载荷包含硬编码PostgreSQL凭据，直接连接目标数据库窃取钱包、交易等敏感表数据。 9、黑客利用Claude Code泄露事件传播窃密木马 https://www.bleepingcomputer.com/news/security/claude-code-leak-used-to-push-infostealer-malware-on-github/ 黑客组织利用Anthropic公司Claude Code源代码泄露事件传播Vidar信息窃取恶意软件。3月31日，Anthropic因npm包配置失误意外泄露59.8MB客户端源代码。攻击者迅速在GitHub创建虚假仓库，声称提供"解锁企业版"泄露代码，通过SEO优化使相关搜索结果排名前列，诱导用户下载含恶意可执行文件的压缩包。该木马部署Vidar窃密程序及GhostSocks代 10、研究人员发现Akira勒索软件加密速度大幅提升 https://cyberscoop.com/akira-ransomware-initial-access-to-encryption-in-hours/ Akira勒索软件组织已将攻击效率提升至新高度。该组织从初始访问到完成数据加密仅需不到1小时。Akira自2023年活跃至今，累计获取至少2.45亿美元赎金。其攻击手法包括利用零日漏洞、购买初始访问权限及入侵缺乏多因素认证的VPN。该组织采用"间歇加密"技术，将大文件分块处理以提升速度。值得注意的是，Akira投入大量资源开发可靠解密器，甚至自动保存临时文件以防加密中断。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。