网络安全日报 2026年04月09日
1、伊朗黑客大规模攻击美国关键基础设施,涉及电网水厂等 https://www.cisa.gov/news-events/irans-cyber-activity-against-us-critical-infrastructure 美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国家安全局(NSA)、能源部以及美国网络司令部(U.S. Cyber Command)于 4 月 8 日联合发布警告,伊朗关联威胁行为者正在针对美国关键基础设施(能源、水处理、制造)中暴露于互联网的操作技术(OT)设备发起持续攻击,包括可编程逻辑控制器(PLC)和人机界面(HMI)。 2、木马 NoVoice 感染全球 230 万台安卓设备 https://www.mcafee.com/blogs/internet-security/operation-novoice-android-malware-mcafee-research/ 卡巴斯基、McAfee 发布最高级别安全预警:代号 NoVoice 的新型系统级木马,已深度感染全球超 230 万台安卓手机,国内感染量突破 90 万台,且每天仍以约 5 万台的速度新增,覆盖华为、小米、OPPO、vivo 等所有主流品牌,安卓 10 到安卓 14 全版本都有风险。 3、中央网信办、工信部、公安部启动 2026 年个人信息保护系列专项行动 https://www.cac.gov.cn/2026-04/02/c_1776867645836849.htm 中央网信办、工业和信息化部、公安部于 4 月 2 日联合发布公告,正式启动 2026 年个人信息保护系列专项行动,精准打击违法违规收集、滥用个人信息行为,全方位守护隐私安全。此次专项行动覆盖七大重点领域:1.App、SDK 违法违规收集使用个人信息专项治理;2. 互联网广告领域违法违规收集使用个人信息专项治理;3. 教育领域违法违规收集使用个人信息专项治理;4. 交通领域违法违规收集使用个人信息专项治理;5. 卫生健康领域违法违规收集使用个人信息专项治理;6. 金融领域违法违规收 4、Fortinet FortiClient EMS 发现双重高危 RCE 漏洞 https://securityarsenal.com/blog/cve-2026-35616-forticlient-ems-actively-exploited-ir-guide-and-defensive-hardening Fortinet FortiClient Enterprise Management Server(EMS)中发现两个严重的未认证远程代码执行漏洞(CVE-2026-21643、CVE-2026-35616),CVSS 评分均为 9.8,已在野外被活跃利用。CISA 已将这两个漏洞添加到已知被利用漏洞(KEV)目录,并要求联邦机构在 2026 年 4 月 11 日 5、荷兰医疗软件供应商 Chipsoft 遭勒索软件攻击 https://www.theregister.com/2026/04/08/chipsoft_ransomware/ 2026 年 4 月 7 日,荷兰网络安全中心 Z-CERT 收到通知,医疗软件供应商 Chipsoft 遭受勒索软件攻击。Z-CERT 正在与 Chipsoft、医疗机构及其合作伙伴保持联系,评估攻击对医疗系统的影响。这一事件表明医疗行业仍面临严重的网络安全威胁,勒索软件攻击可能导致医疗服务中断,影响患者安全。 6、俄罗斯APT组织劫持路由器实施DNS攻击 https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/ 研究人员发现俄罗斯军事情报组织"森林暴雪"(Forest Blizzard)自2025年8月起大规模入侵家庭及小型办公室路由器,通过篡改DNS设置实施域名劫持与中间人攻击。该组织利用dnsmasq工具控制DNS解析,将受害者流量导向恶意服务器,进而对Microsoft Outlook等TLS加密连接发起攻击,窃取敏感 7、黑客利用ComfyUI漏洞组建挖矿僵尸网络 https://censys.com/blog/comfyui-servers-cryptomining-proxy-botnet/ 研究人员发现针对互联网暴露的ComfyUI实例的活跃攻击活动,ComfyUI是一个流行的稳定扩散平台。攻击者使用专门构建的Python扫描器持续扫描主要云IP范围寻找易受攻击的目标,自动安装恶意节点。成功入侵后,受感染主机被添加到加密货币挖矿作业中,使用XMRig挖掘门罗币并使用lolMiner挖掘Conflux,同时还被添加到Hysteria V2僵尸网络中。两者都通过基于Flask的命令控制C2仪表板集中管理。 8、Docker Engine发现高危授权绕过漏洞 https://www.cyera.com/research/one-megabyte-to-root-how-a-size-check-broke-dockers-last-line-of-defense 研究人员披露Docker Engine高危漏洞(CVE-2026-34040,CVSS 8.8)。该漏洞存在于授权中间件,当API请求体超过1MB时,系统会在安全插件检查前静默丢弃请求体,导致攻击者可通过填充JSON数据绕过权限控制,创建特权容器并获取宿主机root权限。当前官方已发布补丁。建议立即升级,并在授权插件中配置空请求体默认拒绝策略,部署多层监控机制检测异常容器创建行为。 9、Ninja Forms插件关键漏洞遭在野利用 https://www.wordfence.com/blog/2026/04/50000-wordpress-sites-affected-by-arbitrary-file-upload-vulnerability-in-ninja-forms-file-upload-wordpress-plugin/ WordPress Ninja Forms文件上传高级插件中发现关键漏洞CVE-2026-0740,CVSS评分高达9.8分,目前已在攻击中被积极利用。该漏洞允许未经身份验证的攻击者上传任意文件,可能导致远程代码执行。Ninja Forms是一个流行的WordPress表单构建器,下载量超 10、Snowflake遭数据窃取第三方集成商成攻击入口 https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/ 云数据平台Snowflake披露其少数客户账户出现异常活动,攻击者通过入侵SaaS集成提供商窃取身份验证令牌实施数据盗窃。Snowflake已冻结可能受影响的账户并通知客户,强调自身系统未遭入侵。攻击者利用窃取的令牌试图访问包括Salesforce在内的多个数据源,虽被AI检测系统拦截部分攻击,但仍成功从十余家企业窃取数据。臭名昭著的ShinyHun 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年04月08日
1、伊朗黑客针对中东云环境发起密码喷洒攻击 https://thehackernews.com/2026/04/iran-linked-password-spraying-campaign.html 研究人员发现一个与伊朗有关联的威胁行为体于2026年3月分三波次针对中东地区Microsoft 365环境发起大规模密码喷洒攻击。该活动主要瞄准以色列和阿联酋,波及以色列300余个组织及阿联酋25个组织,欧洲、美国等地亦有少数目标中招。攻击者利用Tor出口节点对数百个组织实施密集型密码喷洒,重点锁定市政当局、能源部门及航空卫星领域。研究人员以中等置信度将此次攻击归因于"灰沙风暴"组织,其作案手法与伊朗利益高度契合。 2、LiteLLM攻击将开发者终端变为凭证窃取工具 https://thehackernews.com/2026/04/how-litellm-turned-developer-machines.html TeamPCP黑客组织于2026年3月对热门AI开发库LiteLLM发起供应链攻击,向PyPI平台的1.82.7和1.82.8版本中注入信息窃取恶意软件。该攻击将开发者机器系统性转化为凭证收集节点,波及范围远超预期。恶意软件利用开发者终端明文存储密钥的普遍现状,窃取SSH密钥、AWS/Azure/GCP云凭证及Docker配置等敏感数据。尽管PyPI在数小时内下架恶意版本,但已有1705个软件包配置为自动拉取受感染版本作为依赖项,包括月下载 3、研究人员警告Flowise AI平台漏洞被积极利用 https://www.linkedin.com/feed/update/urn:li:activity:7446686314562850817/ 威胁行为体正在积极利用Flowise开源AI平台中的最高严重性安全漏洞CVE-2025-59528进行攻击,该漏洞CVSS评分满分10.0分。这是一个代码注入漏洞,可导致远程代码执行。研究人员发现超过12000个Flowise实例暴露在互联网上,攻击者可以利用该漏洞在目标服务器上执行任意代码。Flowise已在2025年9月发布的安全公告中披露了该漏洞并提供了修复方案。 4、研究人员开发出GPUBreach新型攻击技术 https://www.freebuf.com/articles/system/476442.html 研究人员开发出一种名为GPUBreach的新型攻击技术,可通过诱发GDDR6显存Rowhammer位翻转破坏GPU页表(PTE),使非特权CUDA内核获得任意GPU内存读写权限,进而利用NVIDIA驱动程序漏洞实现CPU端权限提升,最终获取root shell。研究团队已于2025年11月向NVIDIA、谷歌、AWS及微软披露该漏洞。对于消费级无ECC显卡,该漏洞目前完全无法缓解;企业级Hopper和Blackwell数据中心GPU默认启用的系统级纠错码(SLCC)可提供防护。完整技术细节 5、研究人员公开Windows Defender 0Day漏洞利用代码 https://cybersecuritynews.com/windows-defender-0-day-exploit/ 网络安全研究员公开Windows本地提权0Day漏洞BlueHammer,影响最新系统,可获取最高权限。披露因不满微软安全响应流程低效,漏洞利用代码已公开,威胁行为者可能快速利用。建议监控权限提升活动并限制用户权限,微软暂未回应。 6、黑客利用Reddit伪造TradingView高级会员帖分发窃密木马 https://cybersecuritynews.com/hackers-use-fake-tradingview-premium-posts/ 威胁组织在Reddit伪造免费TradingView Premium帖子,分发Vidar和AMOS窃密木马,针对Windows和macOS用户。攻击者利用劫持账号发布LLM生成内容,托管恶意负载于合法网站,通过技术手段规避检测。建议企业阻止相关域名并监控异常下载行为,警惕未签名应用和凭证验证。 7、谷歌漏洞奖励计划2025年支出达700万美元创历史新高 https://cybersecuritynews.com/googles-bug-bounty-program-high-reward/ 2025年谷歌漏洞奖励计划创纪录发放700万美元奖金,同比增长40%,700多名白帽黑客参与。新增AI漏洞专项奖励,举办多场黑客活动推动社区合作,开源工具补丁计划成效显著,全球安全会议强化合作,众包安全研究成为抵御新兴威胁的核心战略。 8、领英被曝偷扫6000多个浏览器插件,你的求职意向它全知道 https://www.secrss.com/articles/89144 2026 年 3 月底,德国非营利组织 Fairlinked 发布了一份代号为“BrowserGate”的技术调查报告,核心指控非常直接:每当你访问领英官网,隐藏在网页中的 JavaScript 代码就会静默扫描你的浏览器,检测你安装了哪些扩展程序,然后将结果加密传回领英服务器及一家第三方网络安全公司。 9、谷歌发布AI智能体攻击图谱:互联网成最大风险源 https://www.secrss.com/articles/89181 Google DeepMind研究人员指出,恶意网页内容可用于操纵、欺骗并利用在互联网中自主导航的AI智能体。研究人员已识别出六类针对AI智能体的攻击,这些攻击可通过网页内容发起,并能注入恶意上下文、触发异常行为。 10、OpenSSH 10.3 发布,修复 Shell 注入及其他安全漏洞 https://www.freebuf.com/articles/system/476346.html OpenSSH 项目发布了 10.3 版本及其可移植版本 10.3p1。在三月下旬短暂的测试阶段后,这一重大更新解决了多个重要的安全漏洞。最重要的修复措施防止了一个危险的 shell 注入漏洞,这使得本次更新成为全球系统管理员必不可少的升级。OpenSSH 仍然是 SSH 协议 2.0 的领先实现,提供安全的加密通信。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年04月07日
1、F5高危漏洞致上万台设备处于风险中 https://www.bleepingcomputer.com/news/security/over-14-000-f5-big-ip-apm-instances-still-exposed-to-rce-attacks/ 互联网安全监控组织Shadowserver发现超过14000台F5 BIG-IP APM设备仍暴露在互联网上,正遭受针对关键远程代码执行漏洞的持续攻击。该漏洞CVE-2025-53521此前已被CISA列入已知被利用漏洞目录,CVSS评分已升至9.8分。F5 BIG-IP作为企业网络边缘认证枢纽被广泛部署,其漏洞可能成为攻击者获取初始访问的跳板。尽管供应商已发布安全更新 2、ShinyHunters威胁泄露思科逾300万条记录 https://hackread.com/shinyhunters-hackers-cisco-records-data-leak/ 知名黑客组织ShinyHunters向思科发出最终警告,限其在4月3日前联系否则将公开泄露据称窃取的超过300万条Salesforce记录及相关数据。ShinyHunters声称通过三条路径获取数据:UNC6040、Salesforce Aura和被攻陷的AWS账户。泄露数据包括Salesforce记录、个人身份信息、GitHub仓库、AWS存储桶和内部企业数据。 3、FortiClient EMS零日漏洞遭在野利用 https://cybersecuritynews.com/fortinet-forticlient-ems-0-day/ Fortinet发布紧急补丁修复FortiClient EMS中已被积极利用的零日漏洞CVE-2026-35616,该漏洞CVSS评分9.1分。未经身份验证的攻击者可完全绕过API认证和授权控制,在受影响系统上执行任意代码或命令。攻击基于网络且复杂度低,对部署在互联网上的EMS系统尤其危险。仅FortiClient EMS 7.4.5和7.4.6版本受影响,Fortinet已提供紧急补丁,永久修复将在7.4.7版本中提供。 4、Progress ShareFile双漏洞可致服务器被接管 https://cybersecuritynews.com/progress-sharefile-vulnerability/ 研究人员发现Progress ShareFile Storage Zones Controller 5.x版本中存在两个严重漏洞CVE-2026-2699(CVSS 9.8)和CVE-2026-2701(CVSS 9.1),攻击者无需登录即可接管暴露在互联网上的本地服务器。第一个漏洞为身份验证绕过,第二个漏洞允许通过恶意文件上传实现远程代码执行。据估计约有3万个该控制器实例暴露在互联网上,极易成为勒索软件攻击目标。Progress已于4月2日发布修复补丁,建议用户升 5、研究人员发现设备代码钓鱼攻击激增37倍 https://pushsecurity.com/blog/device-code-phishing/ 滥用OAuth 2.0设备授权流程的设备代码钓鱼攻击今年激增超过37倍。攻击者向服务提供商发送设备授权请求获取代码,以各种借口发送给受害者,诱导其在合法登录页面输入代码,从而授权攻击者设备通过有效的访问和刷新令牌访问账户。该流程原本用于简化没有便捷输入选项的设备连接,如IoT设备、打印机、流媒体设备和智能电视。研究人员观察到此类攻击被网络犯罪分子广泛采用,EvilTokens钓鱼即服务平台成为最突出的攻击工具包。 6、虚假ChatGPT广告拦截扩展监视用户 https://hackread.com/fake-chatgpt-ad-blocker-chrome-extension-spy-users/ 研究人员发现名为ChatGPT Ad Blocker的恶意Chrome扩展在官方Chrome Web Store上可供下载。当用户打开ChatGPT时,扩展执行DOM克隆过程,创建页面所有内容的副本,然后过滤掉图像和样式以专注于文本用户的私人提示和AI的回答。扩展标记任何超过150个字符的文本并将整个对话发送到Discord私有频道。虽然用户以为只是在阻止广告显示,扩展实际上一直在监视他们与ChatGPT AI聊天机器人的对话。该扩展已于2026年 7、AI公司Mercor确认泄露4TB数据 https://hackread.com/ai-firm-mercor-breach-hackers-4tb-data/ AI公司Mercor确认遭受与开源工具LiteLLM供应链攻击相关的安全事件。攻击者发布了两个恶意版本的LiteLLM PyPI包(版本1.82.7和1.82.8),虽然被感染包仅存在约40分钟,但影响窗口巨大。TeamPCP和Lapsus组织声称窃取了4TB敏感数据和内部系统访问权限。Mercor确认事件正在处理中,该攻击是影响全球数千家组织的大规模供应链攻击的一部分。 8、多个恶意npm包针对Strapi CMS发起供应链攻击 https://safedep.io/malicious-npm-strapi-plugin-events-c2-agent/ 攻击者利用四个傀儡npm账户发布36个伪装成Strapi CMS插件的恶意包,对加密货币支付平台Guardarian实施定向供应链攻击。攻击时间跨度13小时,包含八种不同攻击载荷,展现清晰的战术演进路径。攻击初期采用Redis远程代码执行、Docker容器逃逸等激进手段,后期转向侦察与持久化。载荷包含硬编码PostgreSQL凭据,直接连接目标数据库窃取钱包、交易等敏感表数据。 9、黑客利用Claude Code泄露事件传播窃密木马 https://www.bleepingcomputer.com/news/security/claude-code-leak-used-to-push-infostealer-malware-on-github/ 黑客组织利用Anthropic公司Claude Code源代码泄露事件传播Vidar信息窃取恶意软件。3月31日,Anthropic因npm包配置失误意外泄露59.8MB客户端源代码。攻击者迅速在GitHub创建虚假仓库,声称提供"解锁企业版"泄露代码,通过SEO优化使相关搜索结果排名前列,诱导用户下载含恶意可执行文件的压缩包。该木马部署Vidar窃密程序及GhostSocks代 10、研究人员发现Akira勒索软件加密速度大幅提升 https://cyberscoop.com/akira-ransomware-initial-access-to-encryption-in-hours/ Akira勒索软件组织已将攻击效率提升至新高度。该组织从初始访问到完成数据加密仅需不到1小时。Akira自2023年活跃至今,累计获取至少2.45亿美元赎金。其攻击手法包括利用零日漏洞、购买初始访问权限及入侵缺乏多因素认证的VPN。该组织采用"间歇加密"技术,将大文件分块处理以提升速度。值得注意的是,Akira投入大量资源开发可靠解密器,甚至自动保存临时文件以防加密中断。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年04月03日
1、UAC-0255组织冒充CERT-UA分发木马 https://cert.gov.ua/article/6288047 UAC-0255威胁组织冒充乌克兰计算机应急响应小组CERT-UA,向国家机构、医疗中心、安全公司、教育机构、金融机构和软件开发公司等发送钓鱼邮件,分发名为AGEWHEEZE的远程访问木马。AGEWHEEZE是基于Go开发的恶意软件,通过WebSocket与外部服务器通信,支持执行命令、文件操作、剪贴板修改、键鼠模拟、截图以及进程和服务管理等多种功能,并通过计划任务、注册表修改或启动目录实现持久化。伪造网站疑似由AI工具生成,攻击者声称已向100万个邮箱发送了钓鱼邮件。 2、新型安卓恶意软件NoVoice感染230万台设备 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/new-research-operation-novoice-rootkit-malware-android/ 研究人员在Google Play上发现名为NoVoice的新型Android恶意软件,隐藏在超过50款应用中,总下载量超过230万次。恶意软件通过利用2016年至2021年间修补的旧Android漏洞获取root权限,部署了22个漏洞利用程序包括use-after-free内核漏洞和Mali GPU驱动程序漏洞。rootkit建立多层持久化机制,包括安装恢复脚本、替换系统崩溃处 3、EvilTokens新工具包集成设备代码钓鱼功能 https://blog.sekoia.io/new-widespread-eviltokens-kit-device-code-phishing-as-a-service-part-1/ 名为EvilTokens的新恶意工具包集成了设备代码钓鱼功能,允许攻击者劫持Microsoft账户并提供商务电子邮件入侵攻击的高级功能。设备代码钓鱼是一种社会工程技术,攻击者诱骗受害者在合法Microsoft登录页面输入设备代码,使攻击者获得访问令牌而无需知道受害者的密码。该工具包降低了攻击者的技术门槛,使其能够更容易地针对使用Microsoft服务的组织发动攻击。 4、巴西网络犯罪组织发动大规模多平台钓鱼攻击 https://www.bluevoyant.com/blog/augmented-marauders-multi-pronged-casbaneiro-campaigns 巴西网络犯罪组织"增强掠夺者"(Augmented Marauder,又名Water Saci)正针对拉丁美洲及欧洲西班牙语用户发动大规模多平台钓鱼攻击。该组织同时部署Horabot僵尸网络与Casbaneiro银行木马,通过WhatsApp、电子邮件及ClickFix技术实施精准渗透。攻击者伪造西班牙司法传票邮件,利用密码保护PDF附件规避安全检测,诱导受害者点击恶意链接。载荷通过HTA文件触发多阶段感染链,最终部署A 5、研究机构披露利用WhatsApp多阶段VBS攻击活动 https://www.microsoft.com/en-us/security/blog/2026/03/31/whatsapp-malware-campaign-delivers-vbs-payloads-msi-backdoors/ 安全研究团队近日披露,自2026年2月下旬起,一项利用WhatsApp传播恶意VBScript脚本的大规模攻击活动持续活跃。该攻击采用复杂的多阶段感染链,结合社会工程学与"借系统漏洞"技术,最终部署未签名MSI后门实现持久化远程控制。攻击者通过WhatsApp发送恶意VBS文件,利用用户对即时通讯平台的信任诱导执行。该恶意软件具备显著的权限提升与持久化能力 6、Google修复今年第四个Chrome零日漏洞 https://www.bleepingcomputer.com/news/security/google-fixes-fourth-chrome-zero-day-exploited-in-attacks-in-2026/ Google发布紧急安全更新修复今年第四个被在野利用的Chrome零日漏洞CVE-2026-5281。该漏洞源于Dawn中的use-after-free漏洞,攻击者可利用此漏洞触发浏览器崩溃、数据损坏、渲染问题或其他异常行为。Google确认漏洞已被积极利用但未披露攻击细节。新版本已向Windows、macOS和Linux用户推出,版本号为146.0.7680.177/ 7、Nginx-UI 备份恢复漏洞可篡改加密备份并注入恶意配置 https://cybersecuritynews.com/nginx-ui-backup-restore-vulnerability/ Nginx-UI备份恢复机制存在高危漏洞(CVE-2026-33026),攻击者可篡改加密备份文件并注入恶意配置。漏洞源于加密密钥暴露和完整性验证缺失,PoC已公开。影响严重,需立即升级至2.3.4版本并改进加密设计。 8、苹果罕见为iOS 18推送补丁 防御DarkSword漏洞攻击 https://hackread.com/apple-pushes-rare-ios-18-patch-darksword-exploit/ 苹果罕见为iOS 18推送安全更新,阻断DarkSword漏洞攻击,保护未升级用户。虽建议升级至iOS 26,但此举应对公开漏洞工具威胁,尤其针对因兼容性或存储问题延迟更新的设备。专家指出补丁虽必要但有限,用户应保持自动更新或尽快升级。 9、微软将移除Teams共享图片中的EXIF数据 https://cybersecuritynews.com/microsoft-remove-exif-data-teams/ 微软Teams将自动移除共享图片中的EXIF元数据,防止敏感信息泄露,并强制使用现代浏览器以提升安全,2026年实施。 10、美国医疗技术公司CareCloud披露数据泄露事件 https://www.secrss.com/articles/89053 美国医疗软件厂商CareCloud称,内部存储患者电子健康记录的云环境遭非法访问超8小时,已达到重大事件标准,可能对业务造成实质影响;该公司尚未确定数据安全事件的规模,但其客户覆盖4.5万家医疗服务商,数千家医疗机构,影响不容小觑。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年04月02日
1、俄罗斯CTRL工具包通过恶意LNK文件劫持RDP https://censys.com/blog/under-ctrl-dissecting-a-previously-undocumented-russian-net-access-framework/ 安全研究人员发现一个俄罗斯起源的远程访问工具包CTRL,通过伪装成私钥文件夹的恶意Windows快捷方式(LNK)文件分发。该工具包使用.NET构建,包含凭证钓鱼、键盘记录、RDP会话劫持和通过Fast Reverse Proxy(FRP)反向隧道等多种可执行文件。攻击链依赖武器化LNK文件(名为Private Key #kfxm7p9q_yek.lnk)以文件夹图标诱骗用户双击,然后启动多 2、Cisco遭供应链攻击波及源码被窃取 https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/ Cisco遭受网络攻击,威胁行为体提利用近期Trivy供应链攻击中窃取的凭据入侵其内部开发环境,窃取了公司及其客户的源代码。攻击者使用恶意GitHub Action插件从Cisco的构建和开发环境中窃取凭据和数据,影响数十台设备。超过300个GitHub存储库被克隆,包括AI助手、AI防御和未发布产品的源代码,部分存储库属于银行、BPO和美国政府机构。目前Cisco已隔离 3、Silver Fox利用税务季节针对日本企业 https://www.welivesecurity.com/en/business-security/cunning-predator-how-silver-fox-preys-japanese-firms-tax-season/ Silver Fox组织利用日本年度税务申报和组织变更季节,针对日本制造业和其他企业发动定向钓鱼攻击。攻击者发送伪装成税务合规违规通知、薪资调整、人事变动和员工持股计划相关主题的钓鱼邮件,邮件主题直接包含目标公司名称,发件人字段冒充真实员工甚至CEO。打开恶意文件后会投递ValleyRAT远程访问木马,使攻击者能够远程控制被入侵机器、收集敏感信息、监控用户活动并 4、荷兰财政部遭网络攻击后关闭多个系统 https://www.bleepingcomputer.com/news/security/dutch-finance-ministry-takes-treasury-banking-portal-offline-after-breach/ 荷兰财政部在3月19日检测到网络攻击后将部分系统下线,包括国库银行业务数字门户。财政部部长向荷兰众议院表示,约1600家公共机构(包括部委、政府机构、教育组织和社会基金)无法在线查看国库账户余额或申请贷款。荷兰国家网络安全中心和外部取证专家正在调查,财政部已向数据保护局通报违规情况并向高科技犯罪组报案。该事件未影响税收征管和进出口监管等面向公民和企业的 5、Anthropic意外泄露Claude Code源代码 https://www.bleepingcomputer.com/news/artificial-intelligence/claude-code-source-code-accidentally-leaked-in-npm-package/ Anthropic意外在npm公开发布中泄露了Claude Code工具超过50万行源代码。泄露源于发布打包过程中的人为错误,将大型调试文件包含在公开npm包中。泄露内容揭示了Claude Code的内存架构设计,包括KAIROS功能标志以及Anthropic内部AI路线图。Anthropic表示未涉及客户数据或凭证泄露。 6、谷歌研究:量子计算机或提前破解比特币加密机制 https://siliconangle.com/2026/03/31/google-finds-quantum-computers-break-bitcoins-encryption-sooner-expected/ 谷歌研究显示,50万个量子比特的计算机可能提前破解加密货币加密机制,威胁比特币安全。现有ECC加密技术面临量子计算挑战,需转向抗量子密码学。谷歌呼吁行业未雨绸缪,强化防护措施。 7、XLoader恶意软件升级混淆技术通过诱饵服务器隐藏C2流量 https://cybersecuritynews.com/xloader-malware-upgrades-obfuscation-tactics/ XLoader恶意软件升级8.7版,采用65个诱饵C2服务器和动态加密技术,大幅提升检测难度。通过随机IP请求和多层加密隐藏真实通信,防御需监控异常HTTP流量并更新终端检测工具。 8、Mercor AI确认数据泄露事件 此前Lapsus$黑客组织宣称窃取4TB数据 https://cybersecuritynews.com/mercor-ai-data-breach/ Mercor AI确认遭Lapsus$黑客组织攻击,4TB数据泄露,包括源代码、用户数据库及面试记录。事件源于LiteLLM供应链攻击,恶意后门窃取凭证。Mercor已控制事态,但用户隐私与平台安全面临严重威胁。 9、Chrome 0Day漏洞遭野外利用——请立即更新补丁 https://www.freebuf.com/articles/web/475884.html 谷歌已为其Chrome浏览器发布紧急安全更新,修复了一个正在被野外利用的0Day漏洞。Windows和Mac平台的稳定版已更新至146.0.7680.177/178版本,Linux平台更新至146.0.7680.177版本,预计未来数日或数周内将覆盖所有用户。 10、Google 将 Axios供应链攻击归因于朝鲜组织UNC1069 https://thehackernews.com/2026/04/google-attributes-axios-npm-supply.html Google 已正式将广受欢迎的 Axios npm 包的供应链遭到破坏归咎于一个名为 UNC1069 的、以经济利益为目的的朝鲜威胁活动集群。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年04月01日
1、攻击者正利用Citrix NetScaler漏洞窃取管理会话ID https://www.bleepingcomputer.com/news/security/critical-citrix-netscaler-memory-flaw-actively-exploited-in-attacks/ 攻击者正在利用Citrix NetScaler ADC和NetScaler Gateway设备中的CVE-2026-3055漏洞,以获取敏感数据。研究人员指出,CVE-2026-3055实际上涵盖了至少两个不同的内存越读漏洞,而非一个,并演示了该漏洞如何被用来泄露敏感信息,包括已通过身份验证的管理会话ID。截至发稿时,Citrix的公告仍未提及CVE-2026-3 2、欧盟委员会证实发生数据泄露事件 https://www.bleepingcomputer.com/news/security/european-commission-confirms-data-breach-after-europaeu-hack/ 欧盟委员会已证实发生数据泄露事件。此前其网络平台遭到网络攻击,ShinyHunters组织宣称对此负责。委员会表示,此次攻击并未中断任何Europa网站的运行,工作人员已采取措施遏制事件防止进一步的数据窃取,并且委员会的内部系统未受此次网络攻击影响。 3、Claude AI发现Vim和Emacs中的0Day RCE漏洞 https://cybersecuritynews.com/claude-ai-0-day-rce-vim/ Claude AI 成功发现 Vim 和 Emacs 的 0Day RCE 漏洞,仅通过简单提示。Vim 漏洞已修复,Emacs 维护者拒绝修复。AI 漏洞挖掘能力引发安全范式转变,启动“MAD Bugs”活动持续探索 AI 发现的漏洞。 4、Jira存储型XSS漏洞可导致组织完全沦陷 https://cybersecuritynews.com/stored-xss-bug-in-jira-work-management/ Jira Work Management 存在存储型 XSS 漏洞,低权限用户可通过恶意图标 URL 注入脚本,控制管理员会话并接管整个组织,凸显 SaaS 平台需严格验证管理输入的重要性。 5、OpenAI修复ChatGPT数据外泄漏洞与Codex GitHub令牌漏洞 https://thehackernews.com/2026/03/openai-patches-chatgpt-data.html ChatGPT存在隐蔽数据外泄漏洞,攻击者可利用恶意提示词窃取敏感信息;Codex高危漏洞可窃取GitHub令牌。OpenAI已修复漏洞,企业需加强AI安全防护,警惕AI工具潜在风险。 6、Axios NPM软件包遭恶意代码注入 活跃供应链攻击持续发酵 https://cybersecuritynews.com/axios-npm-packages-compromised/ Axios遭供应链攻击,恶意依赖项plain-crypto-js通过npm植入1.14.1和0.30.4版本,影响广泛。攻击者绕过正常流程精准修改依赖树,可能涉及账户劫持。用户需立即审计移除受影响版本,回滚至安全版本并持续监控威胁。 7、71 款移动应用被通报违法违规收集使用个人信息 https://www.toutiao.com/article/7623582912746734131/ 2026 年 4 月 1 日,国家网络与信息安全信息通报中心依据《网络安全法》《个人信息保护法》等法律法规,经国家计算机病毒应急处理中心检测,通报 71 款移动应用存在违法违规收集使用个人信息情况。其中,《零零享租机》支付宝小程序因 3 项个人信息违法违规被点名,包括未在征得用户同意后才开始收集个人信息或打开可收集个人信息的权限等问题。 8、OpenClaw 发现多个高危漏洞,影响全球超 17 万个实例 https://www.venustech.com.cn/new_type/aqtg/20260330/29272.html 2026 年 3 月 30 日,启明星辰安全应急响应中心(VSRC)监测到 OpenClaw 存在未授权访问漏洞(CVE-2026-32914)。该漏洞源于 /config 与 /debug 等敏感命令接口在实现过程中仅校验调用方是否具备 command-authorized 权限,而未进一步验证是否为 owner 身份,导致权限控制逻辑缺失。此外,360 数字安全集团依托自主研发的 360 多智能体协同漏洞挖掘系统,在 OpenClaw 平台中成功发现一处高危漏洞 9、苹果iOS 26.1 正式版发布修复约 50 个安全漏洞 https://soft.china.com/article/1725466.html 2026 年 4 月 1 日,苹果正式推送 iOS/iPadOS/macOS/watchOS/tvOS 26.1 正式版更新。虽然版本号的提升看似常规,但这次更新重点聚焦于安全层面 —— 共修复约 50 个安全漏洞,涵盖系统内核、隐私权限、浏览器引擎等多个关键模块。这是苹果在 2026 年发布的重要安全更新,旨在保护用户免受各种网络安全威胁。 10、法国通过立法严格限制 15 岁以下未成年人使用社交网络 https://news.qq.com/rain/a/20260401A016YF00 2026 年 4 月 1 日,据央视新闻客户端消息,当地时间 3 月 31 日,法国参议院正式表决通过《保护未成年人免受社交网络风险》法案,以立法形式严格限制 15 岁以下未成年人使用社交网络平台,引发欧洲乃至全球对未成年人网络保护的广泛关注。法案计划于 2026 年 9 月新学年正式生效,率先对新注册账户实施限制,后续将逐步覆盖所有存量账户。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
Axios遭供应链投毒攻击(附排查与紧急补救指南)
每周下载3亿次的Axios遭供应链投毒攻击,附排查与修复指南 事件概述:2026年3月31日,著名云安全平台 StepSecurity 监测到,在 JavaScript 生态系统中最受欢迎的 HTTP 客户端库 Axios(每周下载量超 3 亿次)遭遇了严重的供应链攻击。攻击者劫持了 Axios 核心维护者(jasonsaayman)的 npm 账户,并在 npm 官方仓库发布了两个被污染的恶意版本:axios@1.14.1 和 axios@0.30.4。 这些恶意版本并未修改 Axios 自身的源代码,而是神不知鬼不觉地注入了一个名为 plain-crypto-js@4.2.1 的隐藏依赖项。该依赖项唯一的用途就是作为一台跨平台的“木马投递器”,在开发者执行 npm install 期间自动触发,静默释放出针对 Windows、macOS 和 Linux 系统的远程访问木马 (RAT) ,窃取环境凭据并控制机器。 攻击时间线与战术揭秘 此次攻击计划极为缜密周密: 提前潜伏:攻击者在发布毒化版 axios 前 18 个小时,通过临时账户发布了伪装成合法加密库的 plain-crypto-js@4.2.1 恶意依赖,以此绕过“最新发布包”的安全扫描告警。 账号劫持与绕过 CI/CD:攻击者将受害者 npm 账户的注册邮箱篡改为其控制的 ProtonMail 邮箱。值得注意的是,合法的 axios 版本是通过 GitHub Actions 的 OIDC 机制自动化发布的,而这批恶意包则是攻击者使用长期存在的 npm Access Token 人工发布的,完全脱离了正常的源代码提交流程(没有 Commit 或 Tag)。 精准投毒:为了最大化打击面,攻击者在 39 分钟内连续给 axios 最主流的 1.x 架构分支和老旧项目的 0.x 架构分支均发布了投毒更新。 迅速止损:这两个恶意版本分别存活了约 2 小时 53 分钟和 2 小时 15 分钟后,便被 npm 官方撤回并替换为安全阻断存根(Security-holder stub)。 恶意机制如何运作? (动态执行与跨平台感染) 当不知情的开发者安装受污染的 axios@1.14.1 时,npm 会连带安装毫无关联的假依赖 plain-crypto-js。通过这层“影子依赖”,恶意软件触发了其核心攻击逻辑: 1. 利用生命周期钩子(Postinstall Hook)假依赖的 package.json 中配置了 "postinstall": "node setup.js" 钩子,这导致 npm 刚刚解析完树结构,恶意脚本就瞬间开始执行,甚至在整个 npm install 完整结束前就开始连接 C2(命令与控制)服务器。 2. 免杀与深度混淆setup.js 采用了两层定制化的加密解密机制(异或混淆配合 Base64 等),用以躲匿敏感的 C2 域名(http://sfrclak.com:8000/)和终端执行命令,成功避开了常规的静态代码扫描。 3. 三端定制的木马释放逻辑(RAT Payloads)该脚本会识别目标宿主机的操作系统类型(macOS、Windows、Linux),并执行相对应的二阶段木马攻击: macOS 平台:将 AppleScript 无痕跑在后台,拉取 macOS 的专版木马,将其隐藏伪造为系统级缓存进程守护目录(/Library/Caches/com.apple.act.mond)。 Windows 平台:将 PowerShell 副本伪装成 Windows Terminal 进程 (%PROGRAMDATA%\wt.exe),随后通过无 UI 窗口的 VBScript 下载 ps1 载荷并在内存中绕过执行策略运行。 Linux 平台:直接使用系统 Curl 拉取恶意 Python 脚本(/tmp/ld.py)并使用 nohup 放入纯后台执行。 4. 反取证清理(Self-Cleanup)为了躲避事后审计,当一阶段载荷发射完毕并且 C2 服务器建立连接后,setup.js 脚本会“自杀”(删除自己)!甚至,它还会将原本包含提权配置文件的 package.json 替换成一个提前准备好的“无害假文件”。这意味着,如果事后有人去 node_modules 下去翻看源代码找异常,只会看到一个干干净净、仿佛从来没作恶过的模块。 IOC axios@1.14.1 · shasum: 2553649f232204966871cea80a5d0d6adc700ca axios@0.30.4 · shasum: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71 plain-crypto-js@4.2.1 · shasum: 07d889e2dadce6f3910dcbc253317d28ca61c766 C2 域名 · sfrclak[.]com C2 IP · 142[.]11[.]206[.]73 C2 URL · http[:]//sfrclak[.]com[:]8000/6202033 C2 POST body (macOS) · packages[.]npm[.]org/product0 C2 POST body (Windows) · packages[.]npm.org/product1 C2 POST body (Linux) · packages[.]npm[.]org/product2 macOS · /Library/Caches/com.apple.act.mond Windows (persistent) · %PROGRAMDATA%\wt.exe Windows (temp, self-deletes) · %TEMP%\6202033.vbs Windows (temp, self-deletes) · %TEMP%\6202033.ps1 Linux · /tmp/ld.py jasonsaayman · 被盗用合法的 axios 维护者邮箱,邮箱地址已更改为 [ifstap@proton[.]me] nrwise · 攻击者创建的帐户, nrwise@proton[.]me ,发布了 plain-crypto-js 安全版本:axios@1.14.0 (安全) · shasum: 7c29f4cf2ea91ef05018d5aa5399bf23ed3120eb 排查与紧急补救指南 (Remediation) 如果在此时间段内流水线自动构建过或通过 npm 下载过相关版本组件,系统应直接视为 "已被深度妥协 (Compromised)" 。 📌 如何判断受影响? 运行检查命令: //检查项目中是否存在恶意 axios 版本 npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" 检查项目底层是否含有:node_modules/plain-crypto-js 目录(有该目录即表明中过招,不用管 package.json 有多干净:如果 setup.js 已经运行,则此目录下的 package.json 文件将被替换为一个干净的占位符文件。该目录的存在足以证明 dropper 已执行。)。 ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED" 检查机器后门: # macOS ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED" # Linux ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED" "COMPROMISED" # Windows (cmd.exe) dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED 检查 CI/CD 流水线日志 ,查找任何可能拉取了 axios@1.14.1 或 axios@0.30.4 的 npm install 执行。任何安装了这两个版本的流水线都应视为已遭入侵,所有注入的密钥都应立即轮换。 🛠️ 补救措施 强制降级并锁版本:回滚至安全的 axios@1.14.0(或 0.30.3),并在工程的 overrides/resolutions 字段强制锁定不被自动升级。 npm install axios@0.30.3   # for 0.x users //添加一个 overrides 块,以防止传递解析回恶意版本 { "dependencies": { "axios": "1.14.0" }, "overrides":   { "axios": "1.14.0" }, "resolutions": { "axios": "1.14.0" } } 从 node_modules 中移除 plain-crypto-js rm -rf node_modules/plain-crypto-js npm install --ignore-scripts 彻底重构废弃:一旦检测到木马踪迹,环境系统直接推翻重构,不要尝试就地清理,系统状态可能已不纯洁。 全面凭证轮换(最关键!):此次木马会窃取本地变量,请立刻轮换/重置当时机器上存储的所有高权限密钥(包括 AWS 密钥、云平台账号、SSH 私钥、CI/CD Secret 以及任意 .env 环境变量)。 防御最佳实践:建立习惯要求,在 CI/CD 服务器运行打包安装时,强制带上防止脚本潜逃的安全参数:npm ci --ignore-scripts,并配置严谨的防火墙黑白名单出站策略(Egress)。 作为预防措施,在任何可能暴露的系统上, 阻止网络/DNS 层的 C2 流量 : # Block via firewall (Linux) iptables -A OUTPUT -d 142.11.206.73-j DROP # Block via /etc/hosts (macOS/Linux) echo "0.0.0.0 sfrclak.com" >> /etc/hosts   参考链接:https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
网络安全日报 2026年03月31日
1、攻击者正利用F5 BIG-IP系统漏洞进行网络攻击 https://cybersecuritynews.com/f5-big-ip-vulnerability-actively-exploited/ 美国网络安全和基础设施安全局(CISA)已将新披露的F5 BIG-IP系统漏洞列入其“已知利用漏洞”目录中,并警告该漏洞正被积极用于现实世界的攻击。该漏洞被标识为CVE-2025-53521,于2026年3月27日正式列入名单。CVE-2025-53521被描述为F5 BIG-IP访问策略管理器中的一个未具体说明的漏洞,可能导致远程代码执行。 2、WordPress插件Smart Slider 3安全漏洞影响80万站点 https://www.bleepingcomputer.com/news/security/file-read-flaw-in-smart-slider-plugin-impacts-500k-wordpress-sites/ WordPress插件Smart Slider 3存在一个安全漏洞,该插件在超过80万个网站上处于活跃状态。攻击者可以利用该漏洞,使具有“订阅者”权限的普通用户也能访问服务器上的任意文件。该漏洞被标识为CVE-2026-3098,影响3.5.1.33及之前的所有版本。经过身份验证的攻击者可以利用此漏洞访问敏感文件,例如包含数据库凭据、密钥和盐数据的wp-config 3、劳埃德银行集团因IT故障泄露近45万客户数据 https://cybernews.com/security/lloyds-half-million-customers-data-banking-app-glitch/ 劳埃德银行集团(Lloyds Banking Group)在本月早些时候的一次IT故障中,泄露了多达447936名客户的个人数据。英国议会财政委员会表示,该故障允许用户查看其他客户的交易记录,包括账户详情和国民保险号码。根据该委员会公布的劳埃德银行信函,银行已向3625名受到影响的客户支付了总计13.9万英镑的补偿金。目前尚无客户因此遭受经济损失。劳埃德银行表示,夜间更新期间的软件缺陷导致了此次泄露,受影响的包括劳埃德银行 4、APT组织利用DarkSword漏洞工具包针对iPhone用户发起钓鱼攻击 https://securityaffairs.com/190139/apt/russia-linked-apt-ta446-uses-darksword-exploit-to-target-iphone-users-in-phishing-wave.html 俄罗斯APT组织TA446利用DarkSword漏洞工具包对iOS设备发起钓鱼攻击,主要针对北约国家政府、智库等机构。攻击手法升级,首次涉及iCloud账户,显示其威胁能力扩大。该组织与俄联邦安全局关联,活动范围覆盖东欧等多地。 5、微软紧急发布WinRE和安装程序更新 应对安全启动证书到期危机 https://cybersecuritynews.com/microsoft-critical-winre-update/ 微软发布KB5081494和KB5083482更新,增强Windows 11安装程序和恢复环境功能,同时警告安全启动证书2026年6月到期,敦促管理员及时更新以避免启动故障。 6、攻击者在数小时内利用Langflow关键RCE漏洞 https://www.csoonline.com/article/4151203/attackers-exploit-critical-langflow-rce-within-hours-as-cisa-sounds-alarm.html Langflow关键RCE漏洞(CVE-2026-33017)在披露20小时内遭利用,攻击者无需凭证即可执行任意代码。CISA紧急警告,该漏洞影响1.8.2及以下版本,CVSS评分9.3。攻击者迅速窃取密钥,凸显AI工具安全风险,建议立即升级至v1.9.0并监控异常活动。 7、新型"Prompt Poaching"攻击通过恶意浏览器扩展窃取用户AI对话 https://cybersecuritynews.com/prompt-poaching-attack/ AI浏览器扩展提升便利性却引发"prompt poaching"攻击风险,恶意插件窃取敏感对话数据。攻击者通过克隆合法扩展或劫持主流工具传播,威胁企业信息安全。建议严格管理浏览器插件,使用官方客户端并定期审计。 8、攻击者正探测可泄露敏感数据的NetScaler漏洞 https://securityaffairs.com/190131/hacking/urgent-alert-netscaler-bug-cve-2026-3055-probed-by-attackers-could-leak-sensitive-data.html Citrix NetScaler关键漏洞CVE-2026-3055(CVSS 9.3)可泄露敏感数据,攻击者正积极探测。仅影响SAML IDP配置系统,暂无在野利用,但补丁需立即安装以防攻击升级。 9、攻击者可通过恶意文件利用 Vim 漏洞执行任意命令 https://www.freebuf.com/articles/system/475531.html 开发者广泛使用的文本编辑器 Vim 近日曝出一个高危安全漏洞。该漏洞允许攻击者通过诱骗用户打开特制文件,直接执行任意操作系统命令。安全研究员 Hung Nguyen 发现,这一漏洞链揭示了应用程序处理嵌入式文件指令时存在的持续性风险。 10、Telegram被曝存在未修复0Day漏洞可接管设备,官方矢口否认 https://www.freebuf.com/news/475543.html 趋势科技旗下Zero Day Initiative(ZDI)平台研究员Michael DePlante(@izobashi)披露了Telegram的新漏洞(编号ZDI-CAN-30207,CVSS评分9.8)。该漏洞允许攻击者在无需用户交互的情况下,通过发送恶意动画贴纸即可在目标设备上执行代码。其危险性在于,Telegram自动处理媒体生成预览的功能存在缺陷,使得特制文件可触发代码执行。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年03月30日
1、攻击者仿冒VSCode安全警报进行网络钓鱼攻击 https://socket.dev/blog/widespread-github-campaign-uses-fake-vs-code-security-alerts-to-deliver-malware 一场大规模的网络钓鱼攻击正直接针对GitHub上的开发者。攻击者利用GitHub的讨论区发布虚假的Visual Studio Code安全警报,诱骗用户安装恶意软件。初步搜索显示,数以千计近乎相同的帖子遍布各大代码仓库,这表明该事件并非孤立,而是一场协同进行的垃圾邮件攻击。 2、思科针对Secure FMC中的一个安全漏洞发布紧急安全公告 https://cybersecuritynews.com/critical-cisco-secure-firewall-vulnerability/ 思科发布了一项紧急安全公告,针对其Secure Firewall Management Center(FMC)软件中的一个关键漏洞进行了说明。该安全漏洞允许未经身份验证的远程攻击者以完全root权限执行任意代码。CVE-2026-20131是一个CVSS评分高达10.0的高危漏洞,源于不安全的反序列化,且无需任何权限即可远程利用。思科更新了官方公告,确认其产品安全事件响应团队已获悉该漏洞在2026年3月期间被尝试进行恶意利用。 3、卫星信号欺骗激增,严重威胁海事数字基础设施 https://industrialcyber.co/transport/marlink-warns-surge-in-satellite-spoofing-is-blinding-maritime-digital-infrastructure-disrupting-vessel-navigation/ 全球海事通信服务商 Marlink 发出警告,本月针对全球航运的卫星信号干扰和欺骗事件暴增了 50%。该攻击严重干扰了商船的导航系统与海事网络,这与中东等关键航线的地缘紧张局势密切相关。 4、研究人员发现影响Telnyx Python包的供应链攻击 https://socket.dev/blog/telnyx-python-sdk-compromised 研究人员识别出一起影响PyPI上Telnyx Python包的供应链攻击。该库是Telnyx通信平台的官方Python SDK,为开发者提供对语音通话、SMS/MMS短信、WhatsApp、传真、物联网连接及SIP中继等API的编程访问。由于该库用于身份验证并直接向Telnyx API发送请求,它通常部署在处理API密钥、电话基础设施及客户通信的环境中,这进一步放大了潜在的受攻击影响。研究人员称,4.87.1和4.87.2版本被上传至PyPI,其中包含嵌入式窃密木马,请勿使用这些版本。 5、攻击者声称获得欧盟委员会亚马逊云环境访问权限 https://www.bleepingcomputer.com/news/security/european-commission-investigating-breach-after-amazon-cloud-account-hack/ 欧盟委员会正在调查一起安全事件。此前,一名攻击者声称成功获得了该委员会亚马逊云环境的访问权限。尽管欧盟委员会尚未公开披露此次事件,但此次泄露可能至少影响了该委员会的一个AWS账户。AWS发言人在报道发布后称AWS本身并未发生安全事件,其服务运行一切正常。(意指漏洞并非由AWS平台漏洞引起,可能源于用户配置或凭据泄露)。虽然欧盟委员会尚未分享任何细节,但攻 6、勒索软件攻击导致西班牙主要渔港的运营中断 https://therecord.media/port-of-vigo-ransomware 勒索软件攻击破坏了西班牙维哥港(Port of Vigo)的数字化系统,迫使当局切断了部分网络连接,并暂时通过手动方式管理货物运营。该攻击于周二早些时候被发现,影响了用于管理货运流量及其他数字化服务的计算机服务器。官员告知当地媒体,此次事件导致部分设备被锁定,并涉及勒索赎金的要求。为了应对威胁,港口管理局的技术团队已将受影响系统与外部网络隔离,以限制损失。 7、亲伊朗黑客组织称入侵了美国FBI局长邮箱 https://hackread.com/iran-handala-hackers-fbi-chief-kash-patel-gmail-breach/ 一个带有亲伊朗背景的黑客组织公开宣称,他们成功入侵了美国联邦调查局(FBI)局长 Kash Patel 的个人账户。此事件进一步凸显了当前针对高价值政治目标的网络攻击正在加剧。 8、美国洛杉矶联邦法院首次判决社交媒体平台的 "成瘾性算法设计" 违法 https://news.sina.cn/bignews/insight/2026-03-28/detail-inhspwhu5707851.d.html 美国洛杉矶联邦法院首次判决社交媒体平台的 "成瘾性算法设计" 违法,Meta 和谷歌需为一名因童年沉迷 Instagram 和 YouTube 导致心理损伤的女性赔偿 600 万美元。陪审团认定 "无限滚动、自动播放、算法推送、美颜滤镜" 等功能构成刻意诱导成瘾的 "数字赌场机制",这一判决突破了美国《通信规范法》第 230 条对平台内容责任的豁免权。 9、国家安全机关提示:搜索引擎排名可能被“投毒”导致泄密 https://news.bjd.com.cn/2026/03/28/11656609.shtml 国家安全机关在 2026 年 3 月 28 日发布最新提示,披露某企业员工搜索运维软件时,点击了被投毒的虚假页面,下载了带恶意程序的软件,导致敏感数据被境外黑客组织窃取。这一案例提醒公众,网络搜索结果可能被恶意篡改,用户在下载软件、访问链接时需要格外谨慎,应选择官方渠道和可信赖的来源。 10、某沿海港口监控系统遭境外黑客入侵 https://finance.sina.com.cn/wm/2026-03-28/doc-inhspwhu5712594.shtml 央视新闻报道,我国沿海某港口跨境物流公司园区内大量监控摄像头在午休及夜间频繁 "自动转头",异常聚焦停靠、出港的船只。国家安全机关查验发现,该公司监控系统管理员账号密码为出厂默认的弱口令,境外黑客通过 "撞库" 攻击成功登录,远程操控摄像头对港口目标海域进行长期监控。这一事件暴露了关键基础设施安全防护的薄弱环节。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2026年03月27日
1、Larva-26002组织持续针对MSSQL服务器进行攻击 https://asec.ahnlab.com/en/92988/ 研究人员已确认,Larva-26002组织在2026年持续针对管理不当的MS-SQL服务器发起攻击。该组织此前曾部署过Trigona和Mimic勒索软件。最新确认的攻击活动使用了名为ICE Cloud Client的恶意软件,该工具采用Go语言编写。ICE Cloud中使用的字符串为土耳其语,这与该组织此前在Mimic勒索软件中所展现的语言特征一致。 2、研究人员发现针对加密货币开发者的恶意npm软件包 https://socket.dev/blog/5-malicious-npm-packages-typosquat-solana-and-ethereum-libraries-steal-private-keys 研究人员发现由galedonovan账号发布的5个恶意npm软件包,这些恶意软件包旨在对加密货币开发者进行攻击。每个包都对合法的加密库进行了拼写劫持,并将窃取的私钥发送至一个硬编码的Telegram bot。此次攻击活动覆盖了Solana和Ethereum两大生态系统。截至2026年3月23日,攻击者的C2基础设施仍处于活跃状态。 3、Node.js发布紧急安全更新修复多个安全漏洞 https://cybersecuritynews.com/node-js-patches-multiple-vulnerabilities/ Node.js项目组于2026年3月24日针对长期支持分支发布了关键安全更新。此次更新修复了7个安全漏洞,涵盖了TLS错误处理、HTTP/2流控、加密算法时间泄漏、权限模型绕过以及V8哈希表缺陷,其中多个漏洞可由未经身份验证的远程攻击者触发。官方强烈建议开发者及系统管理员立即升级至已修复版本:v20.20.2、v22.22.2、v24.14.1或v25.8.2。 4、Claude浏览器扩展漏洞允许通过任意网站实现零点击XSS注入 https://www.freebuf.com/articles/ai-security/475111.html 网络安全研究人员披露了Anthropic公司Claude谷歌浏览器扩展中存在的一个漏洞,攻击者只需诱使用户访问特定网页即可触发恶意提示注入。 5、思科防火墙漏洞可导致攻击者以root权限远程执行代码 https://www.freebuf.com/articles/system/475097.html 思科发布紧急安全公告,披露其安全防火墙管理中心(Secure Firewall Management Center,FMC)软件存在一个高危漏洞。该严重漏洞允许未经身份验证的远程攻击者以完整 root 权限执行任意代码。 6、研究人员发现利用WebRTC绕过传统防御的新型盗刷器 https://www.freebuf.com/articles/web/475093.html Sansec安全团队发现一种新型支付盗刷器,该恶意程序通过WebRTC数据通道而非传统网络请求来加载恶意代码并外泄窃取的支付数据。研究人员指出:"这种攻击的特殊性在于其运作机制。不同于常见的HTTP请求或图片信标,该恶意软件通过WebRTC数据通道加载有效载荷并传输被盗支付数据。这是Sansec首次观测到WebRTC被用作盗刷渠道。 7、苹果漏洞利用工具遭公开数亿台iPhone随时可被静默入侵窃密 https://www.secrss.com/articles/88796 据悉,公开代码的DarkSword工具包括2组漏洞利用链6个CVE漏洞,可入侵iOS18.4-18.7,数亿台老版本的iPhone设备将受影响,如不遏制或有机会成为下一个永恒之蓝事件;老版本苹果用户应及时更新系统,如无法更新,应开启锁定模式等高级安全措施。 8、大模型网关LiteLLM的PyPI包遭投毒用户凭据和认证令牌遭窃取 https://www.secrss.com/articles/88783 黑客团伙TeamPCP 仍在持续发动供应链攻击,攻陷了位于 PyPI 平台上的热门 Python 包 “LiteLLM”,声称在攻击中已窃取数十万台设备的数据。LiteLLM 是一款开源 Python 库,充当通过一个 API 就能调用多个大语言模型提供商的网关。该包非常热门,每日下载量超过340万次,过去一个月的下载量超过9500万次。 9、国家安全部:谨防AI深度伪造魔改陷阱 https://www.secrss.com/articles/88817 深度伪造技术若被恶意用于金融欺诈、政治渗透、谣言制造、间谍窃密等非法活动,将侵害公民合法权益,甚至扰乱社会秩序、危害国家安全。 10、Coruna iOS 漏洞利用框架与三角测量攻击相关联 https://www.bleepingcomputer.com/news/security/coruna-ios-exploit-framework-linked-to-triangulation-attacks/ Coruna 漏洞工具包是 Triangulation 间谍行动中使用的框架的演进,该行动在 2023 年通过零点击 iMessage 漏洞攻击 iPhone。Coruna 包含五个完整的 iOS 漏洞链,利用了 23 个漏洞,其中包括 CVE-2023-32434 和 CVE-2023-38606,这些漏洞也用于 Triangulation 行动。 声明 以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页