/
勒索软件组织Qilin持续称霸网络攻击生态
NCC Group最新数据显示,Qilin勒索软件团伙在2026年1月继续保持"头号"地位,发动108次攻击,占当月全部观察到攻击的17%。该团伙曾在2024年对NHS主要供应商合作伙伴实施重大网络攻击。尽管1月攻击总量较12月下降17%至651起事件,但专家警告组织不应将月度下降误认为风险降低。Qilin持续瞄准关键基础设施和工业部门,通过运营中断和敏感数据泄露增加勒索压力。
OpenClaw修复ClawJacked漏洞:恶意网站可劫持本地AI智能体
OpenClaw修复了一个高危安全漏洞ClawJacked,该漏洞可能允许恶意网站通过WebSocket连接到本地运行的AI代理并获取控制权。攻击者可利用JavaScript暴力破解网关密码,注册为受信任设备,完全控制AI代理。此外,ClawHub平台发现71个恶意技能包,部分伪装成加密货币工具实施诈骗。微软建议将OpenClaw视为不可信代码执行环境,仅在完全隔离的环境中部署。
npm蠕虫攻击瞄准CI管道与AI编程工具
Socket研究人员发现名为SANDWORM_MODE的大规模npm供应链蠕虫攻击,通过开发者机器、CI管道和AI编程工具传播。攻击者发布了至少19个伪造包,冒充热门开发工具和AI相关工具。恶意软件一旦安装,会执行多阶段载荷,窃取本地环境和CI系统的机密信息,并使用被盗令牌修改其他代码库。该恶意软件还包含"死亡开关"功能,可在被检测时清除主目录。攻击特别针对AI编程助手,通过恶意MCP服务器和提示注入技术窃取敏感数据。
900多个Sangoma FreePBX实例遭Web Shell攻击感染
影子服务器基金会披露,超过900个Sangoma FreePBX实例仍被Web Shell感染,攻击者利用命令注入漏洞CVE-2025-64328发起攻击。受感染实例中401个位于美国,其余分布在巴西、加拿大、德国和法国等国。该高危漏洞影响17.0.2.36及以上版本,已在17.0.3版本中修复。美国网络安全机构已将此漏洞列入已知被利用漏洞目录,建议用户尽快更新至最新版本。
恶意Go加密模块窃取密码并部署Rekoobe后门
网络安全研究人员发现一个恶意Go模块,该模块冒充合法的golang.org/x/crypto代码库,用于收集密码、通过SSH建立持久访问并部署名为Rekoobe的Linux后门。该模块通过拦截ReadPassword()函数调用来窃取用户输入的密码信息,并将其发送到远程服务器。攻击者利用下载的脚本在系统中植入SSH密钥、放宽防火墙限制,并部署包括Rekoobe木马在内的额外载荷。
Lovable平台托管应用存在严重安全漏洞,研究员称影响1.8万用户
研究人员发现Lovable平台托管的应用存在16个漏洞,其中6个为关键漏洞,导致超过1.8万名用户数据泄露。主要问题源于AI生成的代码缺乏适当的安全控制,包括认证功能错误实现等。该应用主要面向教师和学生用户,泄露数据包含邮箱地址和个人信息。研究人员认为平台方应承担安全责任,而Lovable回应称已提供安全扫描但用户未采纳建议。
ScarCruft利用Zoho WorkDrive和USB恶意软件突破物理隔离网络
朝鲜威胁组织ScarCruft部署了新攻击工具包,包括使用Zoho WorkDrive进行命令控制通信的后门程序,以及利用可移动介质中继命令、攻破物理隔离网络的植入程序。该名为Ruby Jumper的活动涉及多个恶意软件家族,通过恶意LNK文件启动多阶段感染链,利用合法云服务部署Ruby执行环境,并weaponize可移动介质绕过网络隔离感染气隙系统。
恶意游戏工具通过浏览器和聊天平台传播Java远程访问木马
攻击者利用伪装的游戏工具通过浏览器和聊天平台传播远程访问木马。恶意下载器部署便携式Java运行时并执行恶意JAR文件,使用PowerShell和系统自带工具实现隐蔽执行。攻击链通过删除初始下载器和配置Windows Defender排除项来规避检测,通过计划任务和启动脚本实现持久化,最终连接外部服务器进行数据窃取。同时发现新型Windows RAT恶意软件家族Steaelite,集成数据盗窃和勒索软件功能。
UAT-10027组织利用Dohdoor后门攻击美国教育医疗机构
思科Talos发现名为UAT-10027的威胁活动集群,自2025年12月起持续攻击美国教育和医疗机构。攻击者部署全新后门程序Dohdoor,利用DNS-over-HTTPS技术进行隐蔽通信,通过DLL侧加载技术执行恶意载荷。该后门可绕过EDR检测,利用Cloudflare基础设施隐藏C2服务器,使恶意通信看似合法HTTPS流量。研究人员发现多所教育机构和养老医疗设施受到感染,但尚未发现数据泄露证据。
Aeternum C2僵尸网络利用Polygon区块链存储加密指令规避打击
网络安全研究人员披露了一种名为Aeternum C2的新型僵尸网络加载器,该恶意软件利用基于区块链的指令控制基础设施来抵御打击行动。该僵尸网络将指令存储在公共Polygon区块链上,而非依赖传统服务器或域名进行控制。威胁行为者LenAI在地下论坛以200美元价格出售该恶意软件。该C++加载器通过智能合约向受感染主机写入命令,机器人随后通过查询公共RPC端点读取指令。
Veracode警告:AI驱动的快速开发使全面安全保障无法实现
Veracode发布年度软件安全报告显示,基于160万应用程序测试数据,发现新增漏洞数量超过修复数量。82%企业存在"安全债务"(一年以上未解决的已知漏洞),较去年74%有所上升。高风险漏洞从8.3%增至11.3%。报告指出,AI驱动的高速开发使代码添加速度超过漏洞修复速度,技术复杂性不断增长。研究认为,AI时代的开发速度使全面安全保障变得不可实现,修复差距已达危机程度,需要变革性改变而非渐进式改进。
SolarWinds四个关键漏洞可获取root权限,需立即修复
SolarWinds文件传输软件Serv-U存在四个严重漏洞,CVSS评分均为9.1分,可导致攻击者以root权限执行代码。漏洞包括访问控制缺陷、类型混淆错误和不安全直接对象引用等,其中最严重的CVE-2025-40538允许恶意行为者创建系统管理员用户并执行任意代码。用户应尽快更新至15.5.4版本以修复所有安全漏洞。
专家建议:立即为后量子密码学做好准备
数字化发展势不可挡,恶意攻击者正采用"现在收获,稍后解密"策略,悄悄积累加密数据以待未来用量子计算机破解。量子计算机威胁现有加密基础,预计2030-2035年可在几分钟内破解现代加密。后量子密码学提供新算法抵御经典和量子计算机攻击。迁移需经历准备、诊断、规划、执行、持续监控五个步骤。组织需应对缺乏紧迫性、内部知识不足、系统刚性等挑战。
恶意StripeApi NuGet包模仿官方库窃取API令牌
网络安全研究人员发现NuGet Gallery上出现恶意包StripeApi.Net,伪装成金融服务公司Stripe的合法库。该包模仿拥有超过7500万下载量的官方Stripe.net库,使用相同图标和几乎相同的说明文档。攻击者人为夸大下载量至18万次,分布在506个版本中。该恶意包复制了合法包的部分功能,但修改了关键方法来收集和传输用户的Stripe API令牌等敏感数据。由于其余代码保持完全功能性,不易引起开发者怀疑。
软件漏洞武器化速度创历史新高
VulnCheck报告显示,尽管去年仅不到1%的软件漏洞在实际环境中被利用,但这些漏洞的武器化速度和规模达到前所未有的水平。研究人员追踪到超过14400个与约10500个独特CVE相关的攻击,同比增长16.5%。大部分增长与AI生成的概念验证代码有关,但研究人员警告许多AI生成代码无法正常运行。超过50%与勒索软件相关的CVE首先被识别为零日漏洞。
思科SD-WAN零日漏洞CVE-2026-20127自2023年起被利用获取管理员权限
思科Catalyst SD-WAN控制器和管理器中发现最高严重级别安全漏洞CVE-2026-20127,CVSS评分10.0分,自2023年起遭恶意利用。该漏洞允许未认证远程攻击者绕过身份验证获取管理员权限。澳大利亚网络安全中心发现威胁行为者UAT-8616利用此零日漏洞入侵SD-WAN系统,创建恶意对等设备加入网络管理平面。攻击者还利用CVE-2022-20775提升至root权限。CISA已将两个漏洞加入已知被利用漏洞目录,要求联邦机构24小时内修复。
英伟达联合安全厂商强化工业运营安全保护
英伟达与Akamai、Forescout、帕洛阿尔托网络、西门子和Xage Security等安全厂商扩大合作,旨在提升运营技术环境和工业控制系统的实时威胁检测与响应能力。合作将利用英伟达BlueField DPU处理安全工作负载,实现零信任分段、身份访问控制等功能。各厂商将在S4x26会议上展示相关技术集成方案。
思科Catalyst SD-WAN遭遇大规模网络攻击浪潮
英国国家网络安全中心与五眼联盟合作伙伴警告思科Catalyst SD-WAN用户立即采取行动,因发现针对该广泛使用产品的威胁活动集群。攻击者在入侵后添加恶意对等节点,随后获取根访问权限并在受害者网络中保持持续访问。活动可追溯至2023年,思科已修补相关漏洞,其中CVE-2026-20127认证绕过漏洞最为关键。组织应立即更新软件版本并应用加固指南。
Next.js开发者遭遇恶意代码库攻击窃取机密信息
微软发现黑客利用伪装成合法项目的恶意代码库攻击Next.js开发者。这些恶意库通过多种方式在开发者机器上执行,最终都导致恶意JavaScript在内存中运行。攻击路径包括滥用VS Code工作区自动化、运行开发服务器或启动应用后端等开发者日常操作。恶意代码会建立与攻击者C2基础设施的连接,窃取个人数据、源代码和云资源等敏感信息。
IBM网络安全部门:应用程序漏洞攻击激增44%
IBM X-Force威胁情报部门研究显示,利用面向公众应用程序漏洞的网络攻击增长44%,超过凭证滥用攻击。人工智能工具可能推动这一趋势,使攻击者更容易发现配置错误或易受攻击的应用程序。报告还发现超过30万个ChatGPT凭证在2025年遭泄露,活跃勒索软件组织增长49%。研究人员建议企业采用更主动的安全方法,加强访问控制和补丁管理。
京公网安备 11010802021500号
