1、杀毒软件 eScan 更新服务器遭入侵，推送恶意更新 https://www.bleepingcomputer.com/news/security/escan-confirms-update-server-breached-to-push-malicious-update 防病毒软件开发商 MicroWorld Technologies 证实，其 eScan 产品的更新服务器在 1月29日 遭到入侵。攻击者利用该渠道向部分客户推送了包含恶意代码的“安全更新”。这是一种典型的高危供应链攻击，专家建议所有 eScan 用户立即断网并等待官方的手动修复指南。 2、恶意 VSCode 扩展 "ClawdBot" 伪装成 AI 助手窃取代码 https://thehackernews.com/2026/01/fake-moltbot-ai-coding-assistant-on-vs.html 安全人员在 Visual Studio Code 市场中发现了一款名为 "ClawdBot Agent" 的恶意扩展。该插件伪装成合法的 AI 编程助手 Moltbot，实则包含恶意载荷，会在开发者不知情的情况下窃取源代码、环境变量和认证令牌。该插件在被移除前已被下载多次。 3、 Fortinet 修复 FortiCloud 越权访问漏洞 https://www.securityweek.com/fortinet-patches-exploited-forticloud-sso-authentication-bypass/ Fortinet 发布紧急更新修复了 FortiCloud 中的一个关键漏洞（CVE-2026-24858）。该漏洞允许攻击者登录并访问注册在其他用户 FortiCloud 账户下的设备，从而实现对受管设备的完全接管。 4、SolarWinds再曝重大RCE漏洞 https://www.csoonline.com/article/4124030/solarwinds-again-critical-rce-bugs-reopen-old-wounds-for-enterprise-security-teams.html SolarWinds旗下Web Help Desk软件曝出6个高危漏洞，含4个严重级RCE漏洞，攻击者可绕过认证执行远程代码。专家警告漏洞极易被利用，企业须立即升级至2026.1版本。这已是该产品近年第三次重大漏洞，凸显代码质量问题的紧迫性。 5、PyTorch "安全"模式被严重RCE漏洞攻破，可执行任意代码 https://securityonline.info/safety-broken-pytorch-safe-mode-bypassed-by-critical-rce-flaw/ PyTorch修复高危漏洞（CVE-2026-24747，CVSS 8.8），其weights_only=True反序列化器存在缺陷，可导致任意代码执行。影响2.9.1及之前版本，建议立即升级至2.10.0修复版本。 6、NIST发布AI安全新指南：突破传统网络安全边界 https://www.csoonline.com/article/4123196/nists-ai-guidance-pushes-cybersecurity-boundaries.html NIST推动AI风险管理范式转变，从传统软件安全转向创新方法，强调AI的独特风险如非确定性行为和对抗性攻击，并制定多维安全框架，但需警惕文档重叠问题，建议简化实施指南。 7、PHPUnit漏洞导致CI/CD管道面临远程代码执行风险 https://securityonline.info/cve-2026-24765-phpunit-vulnerability-exposes-ci-cd-pipelines-to-rce/ PHPUnit发布安全更新修复高危漏洞（CVE-2026-24765），攻击者可利用代码覆盖率文件实现远程代码执行。影响PHPUnit 8-12多个版本，建议立即升级至修复版本，并加强CI/CD环境安全配置。 8、俄罗斯ELECTRUM组织被指策划2025年12月波兰电网网络攻击事件 https://thehackernews.com/2026/01/russian-electrum-tied-to-december-2025.html 俄罗斯黑客组织ELECTRUM对波兰电网发起协同攻击，破坏30个分布式发电站点，首次针对分布式能源资源。攻击者分工明确，利用IT-OT连接破坏关键设备，显示对电网的深入了解。事件突显OT系统面临的国家级威胁。 9、Gemini MCP工具0Day漏洞可导致远程攻击者执行任意代码 https://cybersecuritynews.com/gemini-mcp-tool-0-day-vulnerability/ Gemini MCP工具存在高危0Day漏洞（CVE-2026-0755，CVSS 9.8分），攻击者可远程执行任意代码。漏洞源于execAsync方法未验证用户输入，无需认证即可利用。目前无官方补丁，建议限制访问并监控异常活动。 10、OpenSSL中修复了一个高严重性远程代码执行漏洞 https://www.securityweek.com/high-severity-remote-code-execution-vulnerability-patched-in-openssl/ 周二发布的 OpenSSL 更新修复了十几个漏洞，包括一个高严重性的远程代码执行缺陷。开源 SSL/TLS 工具包中修复的所有 12 个漏洞都是由网络安全公司 Aisle 发现的，该公司使用自主分析器来识别安全漏洞。高严重性问题被跟踪为 CVE-2025-15467，它被描述为一种栈缓冲区溢出，在某些情况下可能导致崩溃（DoS 条件）或远程代码执行。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、ShinyHunters针对100多家大型机构发起身份窃取攻击 https://hackread.com/shinyhunters-target-firms-bypass-sso-security/ 研究人员披露，ShinyHunters与Scattered Lapsus$ Hunters组成的SLSH联盟，正针对超100家大型机构发起大规模身份窃取攻击。该联盟摒弃自动化工具，采用人工语音钓鱼（vishing）模式，通过致电员工或服务台，诱导泄露登录信息。其借助“实时钓鱼面板”搭建仿冒单点登录（如Okta）页面，实时拦截用户凭证及手机验证码，绕过常规安全防护，获“万能钥匙”般全公司系统访问权限。攻击后，黑客窃取敏感文件勒索，拒付则锁定数据，还冒用账号伪装 2、6000余台SmarterMail服务器易受严重认证绕过漏洞攻击 https://securityaffairs.com/187394/hacking/shadowserver-finds-6000-likely-vulnerable-smartermail-servers-exposed-online.html 非营利组织Shadowserver监测发现，全球超6000台SmarterMail服务器暴露于公网，大概率易受CVE-2026-23760严重认证绕过漏洞攻击。该漏洞由watchTowr于1月8日披露，SmarterTools1月15日发布9511版本修复，初期未分配CVE编号。漏洞存在于密码重置接口，匿名攻击者仅凭管理员用户名即可重置密码，劫持 3、研究人员发现伪装成ChatGPT辅助工具的恶意浏览器扩展 https://hackread.com/fake-chatgpt-extensions-hijack-user-accounts/ 研究人员发现16款恶意浏览器扩展，伪装成ChatGPT生产力工具窃取用户会话令牌，进而劫持账号。这些扩展由同一攻击者开发，15款上架Chrome应用商店（含一款获“精选”标识）、1款登Edge商店，批量上传且代码、图标高度相似，累计下载约900次。扩展以高权限运行，可规避传统安全检测，窃取ChatGPT数据及关联工作平台信息，与指定恶意域名通信。研究人员提醒，需警惕未知AI辅助扩展，及时删除可疑插件以防信息泄露。 4、Cloudflare配置错误引发BGP路由泄露 https://www.bleepingcomputer.com/news/security/cloudflare-misconfiguration-behind-recent-bgp-route-leak/ Cloudflare披露，1月22日因路由器策略误配置，引发持续25分钟的BGP路由泄露，影响IPv6流量，导致拥堵、丢包及约12Gbps流量丢失，波及外部网络。该事件属于RFC7908定义的3类和4类路由泄露，因修改迈阿密节点配置时移除特定前缀列表，导致内部IPv6路由被违规对外广播。Cloudflare迅速手动恢复配置、暂停自动化，25分钟内遏制影响，此次事件与2020年7月事故相 5、攻击者利用React2Shell漏洞针对IT行业发起攻击 https://cybersecuritynews.com/attackers-exploiting-react2shell-vulnerability/ 威胁行为者利用React2Shell漏洞（CVE-2025-55182）攻击保险、电商和IT行业，通过不安全的反序列化执行恶意代码，投放挖矿程序和僵尸网络。补丁已发布，但需检查系统是否被入侵。建议更新依赖项并限制实验性功能使用。 6、沙盒防护遭突破：n8n关键漏洞可导致远程代码执行 https://securityonline.info/sandbox-shattered-critical-n8n-flaw-cvss-9-9-allows-remote-code-execution/ n8n工作流平台曝高危RCE漏洞（CVE-2026-1470，CVSS 9.9），表达式评估系统隔离失效导致认证用户可突破沙盒执行任意代码，影响1.123.17及2.0.0-2.5.1版本，需立即升级修复。 7、Anthropic CEO警告：人类或未准备好迎接先进AI时代 https://siliconangle.com/2026/01/26/anthropic-ceo-warns-humanity-may-not-ready-advanced-ai/ Anthropic CEO警告强大AI将带来多重风险，包括自主性失控、滥用威胁及地缘政治危机，呼吁精准监管与社会调整。他强调AI可能颠覆劳动力市场并引发哲学困境，但承认技术发展难以限制，需平衡机遇与风险。 8、谷歌Protocol Buffers曝出高严重性拒绝服务漏洞 https://www.anquanke.com/post/id/314571 谷歌旗下被广泛应用的结构化数据序列化工具Protocol Buffers（简称 protobuf，协议缓冲区） 中发现一处高严重性漏洞，该漏洞编号为CVE-2026-0994，仅影响其 Python 实现版本，攻击者可利用此漏洞发起拒绝服务（DoS）攻击，导致相关服务崩溃。 9、Oracle Agile PLM严重漏洞威胁制造业供应链安全 https://www.freebuf.com/articles/vuls/468386.html 2026年1月，Oracle 在其关键补丁更新（CPU）中披露了一个影响 Oracle Agile Product Lifecycle Management for Process 产品的严重安全漏洞，编号为 CVE-2026-21969。该漏洞 CVSS v3.1 评分高达 9.8，属于严重级别，影响范围广泛，可能导致企业核心知识产权泄露和供应链安全风险。 10、国家漏洞库发布关于Microsoft Office安全漏洞的通报 https://www.secrss.com/articles/87400 近日，国家信息安全漏洞库（CNNVD）收到关于Microsoft Office安全漏洞（CNNVD-202601-4359、CVE-2026-21509）情况的报送。攻击者可通过构造恶意Office文档绕过用户保护机制，进而执行恶意代码。Microsoft Office多个版本均受此漏洞影响。目前，微软官方已发布补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者利用微软脚本传播Amatera窃密木马 https://hackread.com/fake-captcha-scam-microsoft-tools-amatera-stealer/ 研究人员于2026年1月23日披露一起新型虚假验证码攻击事件，黑客以伪造的“我不是机器人”验证为诱饵，诱导用户执行恶意操作，最终植入Amatera窃密木马窃取敏感数据，攻击手段极具隐蔽性且善用合法工具规避检测。该攻击要求用户按下Windows键+R组合键后粘贴代码执行，实则利用微软合法脚本SyncAppvPublishingServer.vbs（一款LOLBin工具）实施攻击。这款脚本是Windows系统中管理虚拟应用的可信签名组件，凭借官方合法性可 2、攻击者利用Microsoft Teams发起钓鱼攻击 https://blog.checkpoint.com/email-security/attackers-continue-to-target-trusted-collaboration-platforms-12000-emails-target-teams-users/ 近期出现一起滥用Microsoft Teams功能的钓鱼活动，攻击者借助该可信协作平台分发伪造成微软官方服务的钓鱼内容，通过访客邀请及钓鱼主题团队名称伪装账单和订阅通知，诱导受害者拨打欺诈支持电话，无传统恶意链接却极具迷惑性。此次活动规模较大，累计发送钓鱼信息12866条，日均990条，影响6135名用户。攻击流程清晰：攻 3、微软发布紧急更新修复在野利用的Office零日漏洞 https://securityaffairs.com/187349/hacking/emergency-microsoft-update-fixes-in-the-wild-office-zero-day.html 当地时间2026年1月26日，微软发布紧急带外安全更新，修复一个正被在野利用的Office零日漏洞，漏洞编号为CVE-2026-21509，属于安全功能绕过漏洞，影响Office 2016、2019、LTSC 2021、LTSC 2024及Microsoft 365企业应用等多个版本。微软公告指出，该漏洞因Office在安全决策中依赖不可信输入，导致攻击者可本地绕过安全功能，攻 4、谷歌支付6800万美元就其语音助手非法监听用户等指控达成和解 https://techcrunch.com/2026/01/26/google-pays-68-million-to-settle-claims-its-voice-assistant-spied-on-users/ 据路透社报道，谷歌已同意支付6800万美元，就其语音助手非法监听用户以推送定向广告等指控达成集体诉讼和解。该初步和解协议已提交至美国加利福尼亚州圣何塞联邦法院，尚待法官批准，和解范围覆盖2016年5月18日起购买谷歌设备或遭遇语音助手误触发的用户。这起集体诉讼指控谷歌未经用户同意，非法拦截、录制私人对话，并向第三方未授权披露通信内容，还将录音获取的信息用于定向广告及其他用途。 5、LA-Studio Element Kit中发现严重后门 https://www.anquanke.com/post/id/314510 WordPress 社区近日遭遇一起严重安全事件：在 LA-Studio Element Kit for Elementor 插件中发现了一个后门漏洞。该插件在超过 20,000 个网站上运行。漏洞编号为 CVE-2026-0920，CVSS 评分高达 9.8（严重），允许未授权攻击者立即创建管理员账号，从而完全接管受影响网站。 6、数千个Clawdbot Agent暴露在公网风险中 https://www.freebuf.com/articles/ai-security/468403.html 当前流行的AI助手工具Clawdbot正在社交媒体上快速扩散，众多用户通过Mac mini硬件进行部署。但该工具同样适用于容器化环境或虚拟专用服务器(VPS)，而默认配置往往会导致服务暴露在公共互联网上。虽然全球可达性让用户能从任何地点访问Clawdbot，但大量用户未能实施严格的安全协议。这一疏忽使得众多实例直接暴露于外部探测之下——事实上，安全研究团体已发现多个毫无防护的Clawdbot节点正在运行。 7、高危沙箱逃逸漏洞：vm2 缺陷危及数百万应用 https://www.freebuf.com/articles/468372.html Node.js 生态中广受欢迎的沙箱库 vm2 曝出重大安全漏洞（CVE-2026-22709），该漏洞 CVSS 评分高达 9.8 分，可使攻击者完全绕过沙箱环境，在宿主机上执行任意代码。数百万开发者使用该库运行不可信代码，受影响版本为 3.10.0 及以下。 8、微软向FBI提供BitLocker密钥以解锁调查中的加密笔记本电脑 https://cybersecuritynews.com/microsoft-shares-bitlocker-keys/ 微软配合FBI提供BitLocker密钥解锁涉案电脑，揭示云存储加密密钥的双重性：既便利用户恢复数据，又可能被执法部门获取。案件凸显隐私与执法的平衡难题，专家建议离线保存密钥以增强安全性。 9、隐形陷阱：生成式AI现可创建"活体"多态钓鱼页面 https://securityonline.info/the-invisible-trap-genai-now-creates-living-polymorphic-phishing-pages/ 攻击者利用生成式AI创建动态钓鱼页面，通过受信任的AI服务实时生成恶意代码，绕过传统检测。多态性使每次攻击代码唯一，基于签名的检测失效，需依赖运行时行为分析防御。 10、2025年新增漏洞5万个，公开遭到利用的不足千个 https://www.secrss.com/articles/87379 2025年新增的CVE漏洞数量目前大约为4.8万个，但公开遭到利用（KEV）的仅884个；漏洞利用速度已成为防御方面临的核心挑战，如果企业能将安全资源优先用于已遭利用漏洞，将极大减缓安全噪音、降低暴露风险、领先于攻击者。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、KONNI组织利用AI生成PowerShell后门 https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/ 研究人员监测到与朝鲜关联的威胁组织KONNI发起的新一轮钓鱼攻击活动，该组织此次突破传统攻击范围，将目标拓展至亚太地区多国，并创新性采用AI生成的PowerShell后门，凸显黑客组织对AI工具的应用趋势。KONNI自2014年起活跃，过往主要聚焦韩国境内目标，重点攻击外交、学术、政府等领域，惯用伪装地缘政治主题文档的鱼叉式钓鱼手法。而本次活动呈现显著新特征：地理范围大幅扩张，VirusTotal上的样本提交信息显示，攻击已覆盖日本、澳 2、Sandworm组织动用新型恶意软件攻击波兰电力部门 https://thehackernews.com/2026/01/new-dynowiper-malware-used-in-attempted.html 俄罗斯国家背景黑客组织Sandworm对波兰电力系统发动了号称“规模最大”的网络攻击，波兰能源部长米洛什·莫蒂卡证实此次攻击未获成功，该国网络空间部队监测到这起近年来针对能源基础设施的最强攻击。斯洛伐克网络安全公司ESET发布报告称，此次攻击由Sandworm组织实施，其部署了一款此前未被记录的擦除型恶意软件，代号DynoWiper。研究人员基于该恶意软件与Sandworm过往（尤其是2022年俄乌冲突后）擦除工具的行为特征重叠，以中等 3、黑客利用telnetd身份认证绕过漏洞获取root权限 https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-telnetd-auth-bypass-flaw-to-get-root/ 研究人员监测到一起协同攻击活动，目标直指GNU InetUtils telnetd服务器中存在长达11年的高危漏洞，该漏洞编号为CVE-2026-24061，于2026年1月20日被披露，利用难度极低且已有多个POC漏洞利用代码公开，对相关系统构成严重威胁。该漏洞源于telnetd组件在调用“/usr/bin/login”程序时对环境变量处理不当，未对用户可控的USER环境变 4、第三届Pwn2Own汽车安全竞赛揭露了76个零日漏洞 https://www.theregister.com/2026/01/25/pwn2own_automotive_2026_identifies_76_0days/ 上周举办的第三届Pwn2Own Automotive汽车安全竞赛，曝光了76个独特的零日漏洞，攻击目标涵盖特斯拉信息娱乐系统至电动汽车充电器等各类汽车软件系统，成为汽车软件安全领域的一次集中考验。本次竞赛在东京汽车世界展会举办，共收到创纪录的73份参赛申请，尽管并非所有尝试都取得成功，趋势科技零日计划（Zero Day Initiative）仍向成功的参赛者发放了超过100万美元奖金。竞赛中，Fuzzware.io团队凭借7次 5、耐克公司就WorldLeaks宣称的数据泄露事件展开调查 https://securityaffairs.com/187303/data-breach/nike-is-investigating-a-possible-data-breach-after-worldleaks-claims.html 网络犯罪组织WorldLeaks宣称窃取耐克1.4TB数据，耐克正调查。该组织由勒索转型为纯数据窃取，已入侵数百机构。运动品牌频遭攻击，Under Armour此前7200万客户数据泄露。 6、未受保护数据库泄露4800万Gmail及650万Instagram账户凭证 https://cybersecuritynews.com/48m-gmail-6-5m-instagram-exposed-online/ 1.49亿条未加密的登录凭证在线暴露，涉及Gmail、Facebook等平台，含政府账户和金融信息，威胁全球用户安全。专家建议启用双因素认证、使用密码管理器并检查异常登录。 7、Node.js二进制解析库曝高危漏洞可导致恶意代码注入 https://cybersecuritynews.com/node-js-binary-parser-library-vulnerability/ Node.js二进制解析库binary-parser（ 8、 CISA 警告：VMware vCenter高危 RCE漏洞已被利用 https://securityonline.info/cisa-alert-critical-vmware-vcenter-rce-cvss-9-8-now-exploited-in-the-wild/ 美国CISA警告Broadcom VMware vCenter Server高危漏洞（CVE-2024-37079，CVSS 9.8）正被黑客利用，可远程控制服务器。补丁已发布但仍有攻击，联邦机构被要求2026年前修复。 9、废弃Python PLY库曝出严重RCE漏洞 https://securityonline.info/ghost-in-the-code-critical-rce-found-in-abandoned-python-ply-library-cvss-9-8/ Python解析库PLY曝高危漏洞CVE-2025-56005（CVSS 9.8），未记录的picklefile参数可致远程代码执行。维护者已放弃项目，建议用户迁移至其他解析库，避免使用该参数并审计代码。 10、“MacSync”恶意软件诱导用户“亲手”入侵自己的设备 https://www.anquanke.com/post/id/314522 一种高度复杂的新型恶意软件攻击正瞄准 macOS 用户，它将社会工程学与技术隐蔽性结合得极为致命。这个名为 MacSync 的恶意软件被包装成 “恶意软件即服务”（MaaS），伪装成合法的云存储安装程序，诱骗用户亲手感染自己的设备，并专门窃取加密货币钱包和各类凭据。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、约旦政府被曝使用Cellebrite手机破解技术监控特定人群 https://cyberscoop.com/researchers-find-jordan-government-used-cellebrite-phone-cracking-tech-against-activists/ 加拿大多伦多大学公民实验室（Citizen Lab）发布调查报告称，约旦政府部门在国内抗议活动期间，使用以色列公司Cellebrite提供的手机取证破解技术，对本国活动人士和人权捍卫者实施非授权监控。研究人员对四名被扣押后归还手机的活动人士设备进行分析，发现这些设备高度可信地遭到Cellebrite取证工具的数据提取操作，并结合约旦2023年网络犯罪法相关司法文件确认了 2、美国运动品牌安德玛调查一起数据泄露事件 https://securityaffairs.com/187229/data-breach/investigation-underway-after-72m-under-armour-records-surface-online.html 美国运动品牌安德玛（Under Armour）正联合外部网络安全专家调查一起数据泄露事件，此前有网络犯罪分子在黑客论坛公开了7200万条用户记录。该事件与2025年11月珠峰勒索软件团伙（Everest ransomware gang）声称的攻击相关，当时该团伙宣称获取了343GB数据并试图勒索赎金，2026年1月相关用户数据被公开披露。泄露数据经平台确 3、黑客组织利用微软Visual Studio Code发起攻击 https://www.jamf.com/blog/threat-actors-expand-abuse-of-visual-studio-code/ 研究人员发现，与朝鲜相关联的“传染性面试”（Contagious Interview）攻击活动持续升级，已拓展出利用微软Visual Studio Code的新型攻击手法。去年年底，该实验室发布相关研究后，开源恶意软件研究团队（OSM）也披露了该活动早期攻击技术的进化特征。除原有攻击手段外，攻击者新增利用Visual Studio Code的tasks.json配置文件植入恶意载荷的方式，12月更引入含高度混淆JavaScript的字典文件， 4、ShinyHunters团伙泄露数百万条用户及企业数据 https://hackread.com/shinyhunters-leak-soundcloud-crunchbase-betterment-data/ 黑客团伙ShinyHunters再度活跃，于2026年1月22日通过Telegram发布暗网链接，公开泄露SoundCloud、Crunchbase及Betterment三家平台的数百万条用户及企业数据，此次泄露源于对三家公司的勒索未遂。该团伙搭建专属暗网泄露站点，宣称“要么付款要么泄露”，并放话后续将发起更多数据泄露攻击。泄露数据含Betterment超2000万条个人身份信息、Crunchbase超200万条企业数据及SoundClo 5、CISA确认四款企业软件漏洞遭黑客主动利用 https://www.bleepingcomputer.com/news/security/cisa-confirms-active-exploitation-of-four-enterprise-software-bugs/ 美国网络安全与基础设施安全局（CISA）发布预警，确认四款企业软件漏洞正遭黑客主动利用，并已将其纳入已知被利用漏洞（KEV）目录。这四大漏洞分别影响Versa、Zimbra企业软件，Vite前端工具框架及Prettier代码格式化工具，对企业网络安全构成显著威胁。其中，CVE-2025-34026为Versa Concerto SD-WAN编排平台的严重级身份绕过漏 6、Osiris勒索软件利用BYOVD技术禁用安全工具 https://securityaffairs.com/187279/security/osiris-ransomware-emerges-leveraging-byovd-technique-to-kill-security-tools.html 研究人员发现一种新型Osiris勒索软件，其在2025年11月针对东南亚某大型餐饮连锁运营商的攻击中被启用，攻击者借助自带易受攻击驱动（BYOVD）技术，滥用POORTRY驱动来禁用目标设备上的安全工具，为后续攻击铺路。这款勒索软件具备完整的攻击功能，可终止各类服务与进程、精准筛选文件及文件夹进行加密、投放勒索信，采用混合加密算法保障加密强度，给 7、恶意PyPI包仿冒SymPy传播挖矿木马 https://socket.dev/blog/pypi-package-impersonates-sympy-to-deliver-cryptomining-malware 研究人员发现一款名为sympy-dev的恶意PyPI包，该包仿冒热门Python符号数学库SymPy，后者月下载量达8500万次，攻击者复制了SymPy的项目描述及品牌元素，以此诱导用户误安装。该恶意包于2026年1月17日发布4个版本（1.2.3至1.2.6），均含恶意代码，维护者标注为Nanit，上线首日下载量即突破1000次，虽下载量不等同于感染量，但已快速渗透至开发者及持续集成（CI）环境。包内恶意代码注入下载 8、黑客组织将恶意软件伪装成Notepad++工具传播 https://asec.ahnlab.com/en/92183/ 研究人员披露韩国境内相关传播案例及IOC指标。以部署代理软件（Proxyware）闻名的威胁组织Larva‑25012，近期开始将恶意软件伪装成Notepad++安装程序传播，同时通过进程注入、Python加载器等手段更新技术，规避检测。代理劫持指未经用户同意安装代理软件，劫持设备带宽供第三方使用并从中牟利，与加密劫持类似但核心是利用带宽而非CPU/GPU资源。Larva‑25012至少自2024年起活跃，传播多款代理软件，主要通过免费YouTube视频下载网站、伪造盗版软件下载站的广告扩散恶意程序。 9、思科关键RCE漏洞（CVE-2026-20045）已被攻击 https://www.anquanke.com/post/id/314457 思科已向全球网络管理员发出紧急警告：其核心通信软件中存在一个严重远程代码执行（RCE）漏洞，目前正被黑客积极利用。该漏洞编号为 CVE-2026-20045，允许未授权攻击者接管受影响设备，并可能将权限提升至 root。该漏洞直击企业通信的核心，影响包括 Cisco Unified Communications Manager（Unified CM） 和 Cisco Unity Connection 在内的重要平台。 10、CISA确认四款企业软件漏洞遭黑客主动利用 https://www.bleepingcomputer.com/news/security/cisa-confirms-active-exploitation-of-four-enterprise-software-bugs/ 美国网络安全与基础设施安全局（CISA）发布预警，确认四款企业软件漏洞正遭黑客主动利用，并已将其纳入已知被利用漏洞（KEV）目录。这四大漏洞分别影响Versa、Zimbra企业软件，Vite前端工具框架及Prettier代码格式化工具，对企业网络安全构成显著威胁。其中，CVE-2025-34026为Versa Concerto SD-WAN编排平台的严重级身份绕过漏 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、PDFSIDER恶意软件利用DLL侧加载技术规避检测 https://www.resecurity.com/es/blog/article/pdfsider-malware-exploitation-of-dll-side-loading-for-av-and-edr-evasion 恶意软件PDFSIDER依托DLL侧加载技术规避杀毒与EDR检测，通过隐蔽后门实现加密控制，兼具间谍与勒索攻击适配能力。攻击者以鱼叉邮件投递含合法签名PDF24 Creator工具的压缩包，植入伪造cryptbase.dll，借软件漏洞诱使程序加载恶意DLL而非系统原生文件，实现无感知代码执行。该恶意代码全程内存运行、无磁盘残留，通过匿名管道启动隐藏命令行，采用A 2、攻击者仿冒LastPass发起钓鱼攻击 https://securityaffairs.com/187145/cyber-crime/crooks-impersonate-lastpass-in-campaign-to-harvest-master-passwords.html 密码管理器LastPass警告，2026年1月19日起出现针对其用户的仿冒钓鱼活动，攻击者以紧急维护为由诱骗用户泄露主密码。钓鱼邮件以基础设施更新、密码库安全等为主题，催促用户24小时内备份密码库，链接先跳转至亚马逊S3托管页面，再导向仿冒站点mail-lastpass[.]com。攻击者特意选在美国假日周末发起攻击，利用人员配置减少延迟检测与响应。Las 3、Zoom与GitLab发布安全更新修复多个安全漏洞 https://thehackernews.com/2026/01/zoom-and-gitlab-release-security.html Zoom与GitLab分别发布安全更新，修复多款高风险漏洞，涵盖远程代码执行（RCE）、拒绝服务（DoS）及双因素认证（2FA）绕过等风险，涉及两款产品不同模块。Zoom最严重漏洞为CVE-2026-22844（CVSS评分9.9），存在于节点多媒体路由器（MMR）中，会议参与者可通过网络访问发起RCE攻击，影响特定旧版本模块，目前无在野利用证据，官方建议用户升级至5.2.1716.0及以上版本。GitLab修复3个高危漏洞，含2个可致DoS的未授权 4、思科发布补丁修复远程代码执行漏洞 https://securityaffairs.com/187177/security/cisco-fixed-actively-exploited-unified-communications-zero-day.html 思科发布补丁修复被主动利用的高危零日RCE漏洞CVE-2026-20045（CVSS评分8.2）。漏洞源于HTTP请求输入验证不当，未授权远程攻击者可发送特制请求获取系统权限并提权至root，思科已监测到在野攻击尝试，且确认无临时规避方案，强烈建议用户升级至对应修复版本。此外，1月初思科还修复了ISE产品的中危漏洞CVE-2026-20029，该漏洞因XML解析问题可致敏 5、苹果第二大代工厂立讯精密疑遭勒索攻击，敏感数据外泄 https://cybersecuritynews.com/luxshare-data-exposed/ 立讯精密遭勒索攻击致苹果供应链机密泄露，涉及AirPods、iPhone及Vision Pro生产数据，威胁苹果供应链安全，暴露制造漏洞。需紧急调查并提升防护，凸显高科技供应链安全紧迫性。 6、首款全AI驱动的威胁框架高级恶意软件VoidLink问世 https://cybersecuritynews.com/new-ai-malware-era-begins-as-advanced-voidlink-malware/ 首款AI构建的高级恶意软件VoidLink出现，单人借助AI一周完成复杂开发，采用先进技术隐藏踪迹。AI驱动使恶意软件开发从团队协作变为单人操作，威胁网络安全格局。警示类似AI恶意软件可能未被发现。 7、高危BIND漏洞可致服务器远程崩溃 https://securityonline.info/cve-2025-13878-high-severity-bind-flaw-exposes-servers-to-remote-crash/ ISC警告BIND 9存在高危漏洞（CVE-2025-13878），攻击者可远程发送恶意数据包致服务器崩溃，影响所有BIND部署。建议立即升级至9.18.44、9.20.18或9.21.17版本修复。 8、虚假Notepad++安装包暗藏"代理劫持"恶意软件 https://securityonline.info/bandwidth-bandits-fake-notepad-installers-hide-proxyjacking-malware/ 黑客伪装Notepad++分发恶意软件，利用DLL侧加载技术窃取用户带宽牟利，主要针对盗版软件下载者。攻击者不断升级手段逃避检测，警示用户避免非官方渠道下载软件。 9、NVIDIA修复图形与AI工具中的高危漏洞 https://securityonline.info/nvidia-patches-high-severity-flaws-in-graphics-and-ai-tools/ NVIDIA发布高危漏洞警告，Nsight Graphics（Linux版）和Merlin推荐系统框架存在代码注入风险（CVSS 7.8），可导致系统沦陷，需立即升级至安全版本。 10、研究人员揭露LockBit 5.0最新附属面板与加密变种 https://cybersecuritynews.com/researchers-uncovered-lockbits-5-0-latest-affiliate-panel/ LockBit勒索软件组织发布5.0版本，新增多平台攻击变种，显示其持续运作和适应能力。尽管执法打击影响声誉，其基础设施和附属计划仍活跃，凸显打击勒索软件的长期挑战。安全团队已获取防御所需技术细节。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、CrashFix恶意扩展伪装广告拦截器传播远控木马 https://www.malwarebytes.com/blog/news/2026/01/fake-extension-crashes-browsers-to-trick-users-into-infecting-themselves 研究人员发现类ClickFix攻击手法“CrashFix”，攻击者通过伪装成广告拦截器的恶意Chrome扩展“NexShield – Advanced Web Protection”实施攻击，该扩展曾上架官方应用商店，目前已被下架但存在更名复现风险。扩展安装后会向拼写错误的nexsnield[.]com回传数据，借助Chrome闹钟接口延迟60分钟启动恶意 2、Everest勒索软件声称入侵麦当劳印度分部 https://hackread.com/everest-ransomware-mcdonalds-india-breach-customer-data/ 2026年1月20日，知名Everest勒索软件团伙在暗网泄露站点发布声明，声称入侵美国快餐巨头麦当劳印度分公司，窃取861GB客户数据及内部文档，并公布截图佐证其说法。截图显示含2023至2026年财务报告、ERP迁移文件、投资者信息目录及合作伙伴联系方式等敏感内容，还涉及门店经理信息与联系方式。该团伙称泄露数据含客户信息，已向麦当劳印度下达两天回应期限，目前对方尚未发布官方声明，事件真实性仍待核实。 3、Cloudflare修复ACME验证绕过WAF漏洞 https://www.freebuf.com/articles/web/467348.html Cloudflare近日修复了其自动证书管理环境（ACME）验证逻辑中的一个安全漏洞，该漏洞可能导致攻击者绕过安全控制措施直接访问源服务器。 4、Anthropic Git MCP存在三个漏洞，可导致文件访问与代码执行 https://www.freebuf.com/articles/ai-security/467374.html Anthropic官方维护的Git Model Context Protocol（MCP）服务器mcp-server-git被披露存在三个安全漏洞，攻击者可利用这些漏洞在某些条件下读取或删除任意文件并执行代码。 5、Redis官方容器曝出RCE漏洞 https://www.freebuf.com/articles/system/467409.html JFrog安全研究团队公开披露了Redis中一个高危漏洞的完整利用链，证明在2026年，"老派"的栈缓冲区溢出攻击依然活跃且危险。该漏洞编号为CVE-2025-62507，CVSS评分为8.8分，影响Redis 8.2.0至8.2.2版本。虽然官方公告已警告潜在风险，但JFrog团队决定进一步验证是否可实现完整的远程代码执行（RCE），并最终取得成功。 6、新研究显示GPT-5.2可规模化开发0Day漏洞利用程序 https://www.freebuf.com/articles/467387.html 一项突破性实验表明，先进语言模型现已能够为未知安全漏洞创建有效的利用程序。安全研究员 Sean Heelen 近期测试了基于 GPT-5.2 和 Opus 4.5 构建的两套复杂系统，要求它们针对 QuickJS JavaScript 解释器中的 0Day 漏洞开发利用程序。实验结果标志着攻击性网络安全能力的重大转变——自动化系统可在无人干预的情况下生成功能性攻击代码。 7、攻击者滥用Discord传播剪贴板劫持程序窃取加密货币钱包地址 https://cybersecuritynews.com/attackers-abuse-discord-to-deliver-clipboard-hijacker/ 新型剪贴板劫持程序通过Discord伪装成工具传播，静默监控并替换加密货币钱包地址，主要针对游戏玩家和主播。攻击者利用社交工程建立信任，程序隐蔽运行且难以察觉，已窃取多种加密货币资金。 8、欧盟漏洞数据库正式上线 采用去中心化模式运营 https://www.csoonline.com/article/4118848/new-eu-vulnerability-database-launched.html 欧洲推出免费网络安全漏洞数据库db.gcve.eu，采用去中心化架构和开放API，终结对美式数据库依赖，强化数字主权，应对CVE项目终止风险，实现跨生态协作。 9、GNU libtasn1中存在一字节溢出漏洞 https://www.anquanke.com/post/id/314411 GNU libtasn1 中被发现一个潜在危险的漏洞。该库是无数应用用于处理安全通信和数字签名的基础软件组件。漏洞编号为 CVE-2025-13151，CVSS 评分为 7.5，属于栈缓冲区溢出，可能在安全敏感场景中导致内存破坏。该库是密码学供应链中的关键组件，负责实现 ASN.1 数据结构的解析规则 —— 这正是 X.509 数字证书和 SSL/TLS 协议所使用的格式。 10、ImageMagick新漏洞“XBM”图片上传触发大规模堆溢出 https://www.anquanke.com/post/id/314440 ImageMagick 中发现了一个新的高危漏洞。ImageMagick 是一个无处不在的图像处理库，从社交媒体平台到内容管理系统都在使用。该漏洞编号为 CVE-2026-23876，攻击者只需上传一个特制的 XBM 图像文件，即可触发大规模堆缓冲区溢出。该漏洞的 CVSS 评分为 8.1，对任何处理不可信图像的网络服务都构成重大风险，可能导致内存破坏或程序崩溃。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、APT组织Konni利用谷歌和Naver广告传播恶意软件 https://www.genians.co.kr/en/blog/threat_intelligence/spear-phishing 研究人员披露，波塞冬行动（Operation Poseidon）是臭名昭著的Konni APT组织发起的精密攻击活动。攻击者滥用ad.doubleclick[.]net、mkt.naver[.]com的合法重定向链接，使初始点击对安全过滤器呈良性，诱导用户经广告服务器跳转至已被攻陷的WordPress网站获取恶意载荷。攻击精准针对韩国目标，伪装人权组织、金融机构发送钓鱼邮件，以“材料提交说明”“转账交易记录确认”等名义诱骗下载恶意压缩包，还通过HTML隐藏 2、键盘记录器入侵美国银行员工商店窃取敏感数据 https://sansec.io/research/keylogger-major-us-bank-employees 研究人员在美国三大银行之一的员工商品商店中，发现一款活跃键盘记录器，该网站服务超20万名员工，用于订购企业定制商品，恶意软件可窃取表单中登录凭证、银行卡号及个人信息。截至1月15日更新，该恶意软件已被移除，累计活跃约18小时。其采用两阶段加载机制，通过字符编码混淆规避静态分析，借助图片信标技术外传数据以绕过防护。该威胁仅被Sansec检测到，暴露通用安全工具盲区，且涉事银行未公开security.txt致漏洞上报受阻，专家建议将员工商店纳入安全审计，部署专用工具防护客户端 3、Anthropic官方Git MCP服务器曝链式漏洞 https://www.freebuf.com/articles/ai-security/467354.html Anthropic PBC的官方Git Model Context Protocol（模型上下文协议）服务器存在多个安全漏洞，可能引发任意文件访问，某些情况下甚至能通过提示词注入（prompt injection）实现完整的远程代码执行。人工智能安全初创公司Cyata Security Ltd今日发布的最新研究报告披露了这一情况。这些漏洞影响mcp-server-git——Anthropic为Git开发的MCP参考实现，该组件旨在向开发者示范如何安全地将Git仓库暴露给基于大语言 4、间谍软件反制升级，Predator恶意软件开始猎杀安全研究人员 https://www.freebuf.com/articles/endpoint/467248.html 商业间谍软件行业不再仅开发针对受害者的监控工具，他们正在构建专门用于反制研究人员的功能。Jamf Threat Labs最新技术分析报告揭露，臭名昭著的Predator间谍软件中潜藏着此前未记录的复杂反分析机制，其精密程度足以扭转攻防态势。 5、基于TG的非法交易平台"土豆担保"停止运营 https://www.freebuf.com/news/467340.html 区块链网络安全公司Elliptic报告指出，东南亚地区基于Telegram的大型非法交易平台"土豆担保"(Tudou Guarantee)已停止其公开群组的交易活动，该平台此前处理了超过20亿q币的交易。研究人员表示，其他服务仍在运行，因此尚不确定是否完全关闭。 6、Deno 高危漏洞可导致密钥泄露和代码执行 https://www.anquanke.com/post/id/314377 以 “默认安全” 架构闻名的现代 JavaScript/TypeScript 运行时 Deno 近期曝出两个重大安全漏洞。这两个漏洞分别影响运行时的加密兼容性层和 Windows 平台的命令执行机制，可能导致敏感服务器密钥泄露，并允许攻击者执行任意代码。 7、OpenStack管理员权限伪造漏洞允许用户 “申请” root 权限 https://www.anquanke.com/post/id/314392 OpenStack 云基础设施项目中一个重大安全漏洞已被修复，该漏洞位于其身份认证中间件中。漏洞编号为 CVE-2026-22797，属于权限提升漏洞，允许已通过认证的普通用户欺骗系统，使其获得管理员权限或冒充其他用户。问题出在 keystonemiddleware 中，这是 OpenStack 服务中负责处理身份验证令牌的关键组件。 8、2025年至少29款银行App被通报，侵害用户权益问题之前更严峻 https://www.secrss.com/articles/87139 以银行业为例，近几年侵害用户权益的App较多，个人信息安全问题较为严峻。此次，《银行科技研究社》对2025年因侵害用户权益而被通报的App进行了不完全统计。2025共29款银行App被通报，违规收集个人信息问题最常见从统计数据来看，2025年共有29款银行App被通报。对比前两年的数据，2024年有17款、2023年有20款，可见，去年被通报的银行App比前两年更多。在29款App中，浦发银行占3款，其他银行各有1款App。 9、虚假生产力工具：5 款恶意 Chrome 扩展劫持企业会话 https://www.anquanke.com/post/id/314370 Socket 威胁研究团队揭露了一场针对企业环境的新型、高度复杂的攻击活动。五款伪装成生产力工具的恶意 Google Chrome 扩展被发现正在窃取身份验证令牌并劫持用户会话，目标涵盖 Workday、NetSuite、SAP SuccessFactors 等主流企业平台。 10、谷歌Gemini漏洞揭示企业面临新型AI提示注入风险 https://www.csoonline.com/article/4119029/google-gemini-flaw-exposes-new-ai-prompt-injection-risks-for-enterprises.html 谷歌Gemini曝日历邀请漏洞，攻击者可植入自然语言指令操纵AI行为，凸显生成式AI集成工作流的新型安全风险。专家建议实施最小权限原则、零信任防护及全员AI安全培训，限制潜在危害而非完全消除风险。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、GootLoader使用拼接ZIP压缩包绕过安全防护 https://securityaffairs.com/187037/cyber-crime/gootloader-uses-malformed-zip-files-to-bypass-security-controls.html GootLoader恶意软件通过拼接数百个ZIP文件生成畸形压缩包，以此绕过安全检测，作为初始访问工具为勒索软件团伙提供入口，占近年绕过检测恶意软件的11%。该恶意软件隶属2014年活跃至今的GootKit家族，由Mandiant追踪的UNC2565组织操控，采用访问即服务模式，可分发多款勒索软件及木马。2025年11月重现后，其已关联Vanilla Tempes 2、攻击者通过伪造杀毒软件安装包分发窃密载荷 https://securityonline.info/fake-malwarebytes-campaign-exploits-dll-sideloading-to-drop-infostealers/ 研究人员揭露一起伪装成Malwarebytes杀毒软件的攻击活动，该活动于2026年1月11日至15日活跃，攻击者通过伪造安装包分发窃密载荷。攻击借助恶意ZIP压缩包传播，文件名遵循特定格式。攻击者未直接使用恶意可执行文件，而是采用DLL劫持技术，将合法可执行文件与恶意CoreMessaging.dll捆绑，诱使系统加载恶意模块。恶意DLL含特殊元数据，压缩包中的文本文件还关联到多款软件的虚 3、StealC窃密木马控制面板遭研究人员劫持 https://www.cyberark.com/resources/threat-research-blog/uno-reverse-card-stealing-cookies-from-cookie-stealers 2023年起在暗网推广的StealC窃密木马，凭借规避检测及强效窃密能力走红，2025年4月推出2.0版本，新增Telegram机器人实时告警等功能，但其管理面板源码随后泄露。CyberArk研究人员借此发现面板存在XSS漏洞，利用该漏洞收集攻击者设备指纹、监控会话并窃取面板会话Cookie，为避免攻击者快速修复漏洞，未披露漏洞细节。研究聚焦名为“YouTubeTA”的攻击 4、黑客劫持伊朗国家电视台，播放反政权抗议信息 https://securityaffairs.com/187055/hacktivism/hacktivists-hijacked-iran-state-tv-to-broadcast-anti-regime-messages-and-reza-pahlavis-protest-appeal.html 反政权黑客入侵伊朗Badr卫星系统，劫持国家电视台播放流亡王储巴列维的抗议呼吁，持续10分钟。视频号召民众示威并争取军方支持，同时展示国际声援。伊朗网络随后再次受限。 5、微软联合多国瓦解RedVDS网络犯罪平台 https://www.bleepingcomputer.com/news/security/microsoft-seizes-servers-disrupts-massive-redvds-cybercrime-platform/ 微软宣布联合欧洲刑警组织、德国等多国机构，通过跨国行动瓦解大型网络犯罪虚拟桌面服务RedVDS，冻结其基础设施并关停交易平台。该平台自2019年起以犯罪即服务模式运营，月费低至24美元，向多个黑客团伙提供可操控虚拟Windows服务器，关联2025年3月以来美国境内至少4000万美元损失。其虚拟机均克隆自同一镜像，留下独特指纹便于追踪，服务器遍布多国以规避地域防 6、攻击者利用Visual Studio Code部署多阶段恶意软件 https://www.freebuf.com/articles/development/467238.html 攻击者正在将 Visual Studio Code 转变为攻击平台，利用其丰富的扩展生态系统将多阶段恶意软件植入开发者工作站。最新被发现的 Evelyn Stealer 攻击活动隐藏在恶意扩展中，通过多个精心设计的步骤部署隐蔽的信息窃取工具。 7、谷歌Fast Pair协议重大缺陷导致耳机可被劫持 https://www.freebuf.com/articles/endpoint/467249.html 您的高端蓝牙耳机可能正在监听比音乐更私密的内容。比利时鲁汶大学计算机安全与工业密码学研究小组最新报告披露，谷歌Fast Pair标准存在重大安全缺陷，导致数亿台旗舰音频设备面临劫持和跟踪风险。 8、Cloudflare 0Day漏洞可绕过防护直接访问任意主机服务器 https://www.freebuf.com/articles/web/467232.html Cloudflare Web应用防火墙（WAF）存在一个高危0Day漏洞，攻击者可借此绕过安全控制措施，通过证书验证路径直接访问受保护的主机服务器。FearsOff安全研究人员发现，针对_/.well-known/acme-challenge/目录的请求能够直达主机服务器，即使客户配置的WAF规则已明确拦截所有其他流量。 9、历时数十年的漏洞与新堆损坏问题，Linux系统关键glibc漏洞曝光 https://securityonline.info/decades-old-flaw-new-heap-corruption-critical-glibc-bugs-revealed/ GNU C库披露两个高危漏洞：CVE-2026-0861（8.4分）可导致堆损坏，影响glibc 2.30-2.42；CVE-2026-0915存在数十年，可能泄露堆栈信息。利用门槛较高，建议及时修补。 10、全球恶意广告劫持DNS漏洞，日均欺诈百万用户 https://securityonline.info/sitting-ducks-and-scammy-notifications-inside-a-global-malvertising-operation/ Infoblox揭露利用"坐以待毙"漏洞的全球欺诈推送网络，通过劫持废弃域名收集5700万条日志，显示低效但广泛的欺诈广告运营，主要针对南亚用户。研究警示DNS管理漏洞助长黑产，呼吁加强域名清理责任。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客采取多阶段攻击部署Remcos远控木马 https://securityonline.info/shadowreactor-malware-builds-remcos-rat-via-text-files/ 研究人员发现新型复杂恶意软件框架SHADOW#REACTOR，其以多阶段攻击部署臭名昭著的Remcos RAT，采用无文件技术几乎不在受害者硬盘留下痕迹，成功绕过企业防御。该框架核心规避手段为使用“纯文本中间件”，通过混淆VBS脚本启动器调用PowerShell下载器，获取含有效载荷碎片的普通文本文件，而非易被检测的恶意二进制文件。碎片在内存中重组编码后，经.NET Reactor保护组件解码，最终借助MSBuild.exe等 2、韩国教元集团遭勒索软件攻击可能泄露客户数据 https://securityaffairs.com/186964/data-breach/a-ransomware-attack-disrupted-operations-at-south-korean-conglomerate-kyowon.html 韩国大型综合企业教元集团（Kyowon）确认遭遇勒索软件攻击，导致业务运营中断，客户数据疑似泄露。该集团业务涵盖教育、出版、媒体、科技等多个领域，旗下多家核心子公司均受影响。攻击于2026年1月10日早间被发现，教元集团立即启动应急响应隔离受影响服务器，并向韩国互联网与安全局（KISA）及相关部门报备，联合外部网络安全专家排查攻击原因与损 3、黑客利用Modular DS漏洞获取管理员访问权限 https://www.bleepingcomputer.com/news/security/hackers-exploit-modular-ds-wordpress-plugin-flaw-for-admin-access/ 黑客正活跃利用WordPress插件Modular DS的最高危漏洞（CVE-2026-23550），远程绕过身份验证并获取目标网站管理员权限。该漏洞影响2.5.1及以下版本，这款插件可通过单一界面管理多个WordPress站点，拥有超4万次安装量，功能涵盖远程监控、用户管理、服务器信息访问等。Patchstack研究人员发现，攻击于2026年1月13日凌晨2时（UT 4、法国电信企业因安全防护不足致2400万用户数据泄露 https://www.theregister.com/2026/01/14/france_fines_free_free_mobile/ 法国数据保护监管机构CNIL对 Iliad集团旗下两家电信公司Free（固网业务）与Free Mobile（移动业务）处以总计4200万欧元（约合4890万美元）罚款，起因是2024年10月的数据泄露事件违反GDPR规定，波及超2400万用户，含IBAN等财务信息。攻击始于2024年9月28日，攻击者通过VPN入侵Free网络，借助Free Mobile的MOBO用户管理工具窃取数据，10月6日开始泄露数据，两家公司共2463万余份合约信息受影响。企业1 5、黑客利用PayPal合法发票系统实施钓鱼攻击 https://hackread.com/paypal-scam-verified-invoices-fake-support-numbers/ 一种新型钓鱼诈骗正利用PayPal合法发票系统实施攻击，凭借邮件蓝色认证标记（BIMI标识）绕过安全过滤，连技术熟手也可能受骗。攻击者先在PayPal创建虚假商家账户，借助平台“收款请求”或“发票”功能发送邮件，因由PayPal官方发送，可通过SPF、DKIM、DMARC全项认证，成功获得收件箱蓝色对勾，甚至绕过Google Workspace安全过滤。诈骗陷阱暗藏在发票“客户备注”栏，而非恶意链接，会伪造扣款信息并附上虚假客服电话诱导回拨。攻击者 6、Reprompt攻击可绕过防护窃取Microsoft Copilot数据 https://www.malwarebytes.com/blog/news/2026/01/reprompt-attack-lets-attackers-steal-data-from-microsoft-copilot 研究人员发现Reprompt攻击方法，可绕过Microsoft Copilot内置安全机制窃取数据，该漏洞已在2026年1月周二补丁更新中修复，目前无在野利用证据。该攻击滥用Copilot对URL参数的处理逻辑，在q参数中隐藏恶意提示，用户点击钓鱼链接后，Copilot会自动执行提示，劫持已认证的个人会话。其区别于同类注入攻击的优势是，无需用户输入提示、安装插件或启用连接 7、研究人员阻断550余台C2服务器瓦解AISURU及Kimwolf僵尸网络 https://securityaffairs.com/186918/cyber-crime/lumen-disrupts-aisuru-and-kimwolf-botnet-by-blocking-over-550-c2-servers.html Lumen公司黑莲花实验室通过阻断550余台命令与控制（C2）服务器，成功瓦解了用于DDoS攻击和代理滥用的AISURU及Kimwolf僵尸网络。AISURU属TurboMirai家族，提供付费DDoS服务，攻击速率超1.5Tb/秒，还具备凭证填充、AI爬虫等多类非法功能，其攻击曾致宽带服务中断及路由器故障。Kimwolf是关联AISURU的新型 8、deVixor安卓木马针对银行和加密货币用户发起攻击 https://securityonline.info/spy-steal-lock-devixor-android-trojan-hits-banking-crypto-users/ 研究人员发布分析报告，揭露deVixor安卓银行木马的恶性攻击行为，该木马自2025年10月起持续针对伊朗用户发起攻击，已从简单短信窃取工具进化为全功能远程控制木马（RAT）。攻击者通过伪装成正规汽车业务的钓鱼网站，诱骗用户下载恶意APK文件。木马安装后会申请多项高危权限，窃取短信中的验证码、银行卡号等金融信息，还借助WebView注入技术劫持银行会话、通过键盘记录和截图等功能监控设备，更搭载远程触发勒索模块 9、GhostPoster浏览器恶意软件累计安装量达84万次 https://hackread.com/ghostposter-browser-malware-840000-installs/ 研究人员揭露一起持续5年的恶意软件攻击事件，GhostPoster浏览器恶意软件通过多浏览器扩展传播，凭借隐蔽技术长期未被发现，累计安装量超84万次。该恶意软件最初现身于微软Edge浏览器，后扩散至Chrome和Firefox，通过将恶意载荷隐藏在PNG图片中解码执行，规避静态分析与人工审核。Koi Security披露相关发现后，LayerX追踪到17款采用相同架构的关联扩展，部分扩展在用户设备中潜伏近5年。此外，还有一高级变种通过更多规避技术传播，虽仅382 10、WhisperPair高危漏洞可劫持蓝牙音频设备 https://www.bleepingcomputer.com/news/security/critical-whisperpair-flaw-lets-hackers-track-eavesdrop-via-bluetooth-audio-devices/ 研究人员发现谷歌Fast Pair协议存在高危漏洞WhisperPair（CVE-2025-36911），可让黑客劫持蓝牙音频设备，实施追踪与窃听，影响数亿台支持该功能的耳机、音箱等设备，跨iOS与安卓系统。漏洞因厂商未严格执行协议规范，设备非配对模式下仍响应配对请求，黑客可通过蓝牙设备在14米内秒级强制配对，无需用户操作。配对后可控 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。