/
npm和yarn包管理器存在安全漏洞可绕过防护
以色列研究员发现npm和yarn平台存在六个零日漏洞,攻击者可绕过去年11月Shai-Hulud蠕虫攻击后推荐的防御措施。这些名为PackageGate的漏洞能够绕过禁用生命周期脚本和锁文件完整性检查两项关键防护。目前pnpm、vlt和Bun平台已修复相关漏洞,但npm和yarn尚未处理。研究员建议JavaScript开发者转向已修复漏洞的平台,并保持包管理器及时更新。
Forward Networks推出首个企业网络数字孪生系统
Forward Networks发布Forward AI,声称是"全球首个网络数字孪生"技术。该平台基于数学精确的网络数字孪生模型,计划2026年4月正式发布。Forward AI采用智能AI代理技术,能将人类意图转化为经过验证的网络答案,为复杂网络提供可信、可验证的解决方案。该系统支持网络、安全和云团队提出复杂问题、理解网络行为、验证结果并安全自动化工作流程,旨在帮助企业在AI驱动的运营中建立信任基础。
网络安全跻身英国五大增长最快职业领域
网络安全已成为英国第五大增长最快的职业,从业人员数量自2021年以来几乎增长两倍,达到83,700人。目前英国网络安全专业人员数量已超过建筑师、砖瓦工和农场工人等职业,平均每68家企业就有一名网络安全专家。尽管增长显著,该行业仍存在技能缺口、地区分布不均和性别失衡等问题,女性从业者仅占20%。
谷歌联合打击全球最大住宅代理网络IPIDEA
谷歌宣布与合作伙伴联手破坏了全球最大住宅代理网络之一IPIDEA,通过法律行动关闭了数十个控制设备和代理流量的域名。IPIDEA拥有610万个每日更新IP地址,被550多个威胁组织利用进行网络犯罪、间谍活动等恶意行为。该网络通过在应用和游戏中植入恶意软件,将消费者设备转化为代理端点,参与DDoS攻击。谷歌已更新Play Protect系统,自动警告并移除包含IPIDEA代码的恶意应用程序。
SolarWinds修复Web Help Desk四个关键漏洞,存在未认证远程代码执行风险
SolarWinds发布安全更新,修复Web Help Desk平台多个安全漏洞,包括四个可导致身份验证绕过和远程代码执行的严重漏洞。漏洞包括安全控制绕过、硬编码凭据、不可信数据反序列化等,CVSS评分高达9.8分。攻击者可利用这些漏洞获得未授权访问并执行任意命令。所有问题已在WHD 2026.1版本中修复,建议用户尽快更新。
AI工具存在严重安全脆弱性,治理刻不容缓
网络安全公司Zscaler最新威胁报告显示,企业AI工具极易遭受网络攻击。研究发现AI系统异常脆弱,在25个企业环境的红队测试中,AI系统首次重大故障的中位数时间仅为16分钟,90分钟内90%的系统出现故障。72%的企业环境中,首次测试就发现关键漏洞。同时,2025年AI数据交易量达9893亿次,较2024年增长91%。报告建议企业重点关注可视性、实时防御和一致的治理控制。
AI网络安全初创公司Outtake获得4000万美元B轮融资
AI网络安全初创公司Outtake宣布完成4000万美元B轮融资,由Iconiq领投,微软CEO萨蒂亚·纳德拉、Pershing Square CEO比尔·阿克曼等知名投资人参与。该公司成立于2023年,开发智能网络安全平台,帮助企业自动检测、调查和打击身份欺诈。其客户包括OpenAI、Pershing Square等知名企业和联邦机构,年度经常性收入同比增长六倍。
ShinyHunters利用Okta身份盗窃手段攻击约100家企业
网络犯罪组织ShinyHunters针对约100家企业发起Okta单点登录凭证窃取活动。攻击目标包括Canva、Epic Games等知名科技公司。研究人员表示,该组织采用进化版语音钓鱼技术窃取SSO凭证,并将攻击者控制的设备注册到受害者的多因素认证系统中。虽然目前无法确认具体有多少企业遭到入侵,但这是一个持续进行的活动,攻击者在获得初始访问权限后会渗透到SaaS环境中窃取敏感数据。
WhatsApp推出一键隐私保护模式应对网络攻击威胁
Meta为WhatsApp推出"严格账户设置"新功能,将多项安全设置整合为一键开关。该功能限制在线状态、头像等信息可见性,禁用链接预览,阻止陌生账户群发消息,并默认启用双重验证。Meta表示此功能主要保护记者等面临复杂网络攻击风险的用户,但将向所有用户开放。同时,Meta宣布使用Rust语言重写媒体处理库,提升安全性和可维护性。
vm2库沙箱逃逸漏洞致任意代码执行风险
热门Node.js库vm2被曝出严重沙箱逃逸漏洞CVE-2026-22709,CVSS评分9.8分。该漏洞源于Promise处理程序的不当清理,攻击者可利用此漏洞逃脱沙箱并在底层操作系统执行任意代码。漏洞已在3.10.2版本中修复,但这是该库近年来遭遇的一系列沙箱逃逸漏洞之一。维护者建议用户及时更新并考虑使用isolated-vm等更安全的替代方案。
Prophet Security:AI如何加速安全运营从分诊到威胁狩猎
AI在安全运营中心的应用并非取代分析师,而是重新定义工作流程。通过智能代理技术,系统可对所有警报进行人类级别的深度调查,消除传统人工分诊的瓶颈。AI将来自EDR、身份认证、邮件等多源遥测数据统一关联分析,实现零延迟响应。同时降低威胁狩猎的技术门槛,支持自然语言查询,并建立结构化反馈循环优化检测规则,显著提升安全运营效率。
医疗机构影子AI使用现象广泛,潜藏安全风险
威科集团医疗健康调研显示,超过40%的医务工作者和管理人员知晓同事使用未经批准的影子AI工具,近20%受访者承认自己使用过未授权AI产品。这些未经审核的AI工具可能带来患者安全和数据隐私风险。调研发现,超过50%管理人员和45%医护人员使用未授权产品是为了提高工作效率。专家指出,影子AI缺乏监管可能导致网络安全威胁和误诊风险。
微软Office零日漏洞CVE-2026-21509紧急补丁发布
微软发布Office零日漏洞CVE-2026-21509的紧急补丁,该漏洞CVSS评分7.8分,可绕过安全功能。攻击者通过发送特制Office文件诱导用户打开实施攻击。Office 2021及更新版本通过服务端自动保护,需重启应用生效。Office 2016/2019用户需安装特定更新或修改注册表。美国CISA已将此漏洞列入已知被利用漏洞目录。
勒索软件、声誉与风险:Black Hat Europe 2025回顾与2026展望
2025年末在伦敦举办的欧洲黑帽大会聚焦网络安全重大议题。大会创始人Jeff Moss指出技术已全面政治化,任何技术决策都带有政治后果。研究人员Max Smeets通过分析被执法部门缴获的LockBit数据发现,只有8%的受害者支付赎金,且勒索软件运营商的信誉对其运营至关重要。专家指出,现在有更多元化的威胁行为者进入勒索软件生态系统,包括西方和英语国家的行为者。大会还讨论了AI技术如何加速网络攻击的自动化,以及用户因素在安全防护中的关键作用。
恶意VS Code AI扩展被安装150万次,窃取开发者源代码
网络安全研究人员发现两款伪装成AI编程助手的恶意VS Code插件,总安装量达150万次。这些插件分别是"ChatGPT-中文版"和"ChatGPT-ChatMoss",功能正常但暗中将用户打开的文件和源代码修改发送至中国服务器。插件还内置实时监控功能,可远程触发窃取工作区文件,并通过隐藏框架加载四个中国数据分析SDK进行设备指纹识别。
印度用户遭钓鱼攻击:恶意软件冒充税务部门窃取数据
网络安全研究人员发现一项针对印度用户的多阶段后门攻击活动,疑似网络间谍行动。攻击者冒充印度所得税部门发送钓鱼邮件,诱导受害者下载恶意压缩包,最终部署Blackmoon银行木马变种和SyncFuture TSM企业工具。该活动利用COM技术绕过UAC提示获取管理员权限,通过自动鼠标模拟将恶意文件添加至杀毒软件排除列表。攻击者借助合法商业工具实现远程控制、活动记录和数据窃取,展现了高度复杂性。
耐克遭遇数据窃取 1.4TB内部文件疑似失窃
耐克公司证实正在调查一起潜在的网络安全事件。勒索团伙WorldLeaks声称从耐克系统中窃取了1.4TB内部数据,包含18.8万个文件,并在其泄露网站发布样本。被盗数据主要涉及设计和制造流程文件,包括运动服装设计、工厂培训资源等,暂未涉及客户信息。该团伙被认为是Hunter International勒索软件组织的重新包装。近期Under Armour也遭遇类似攻击,7270万用户账户信息被泄露。
Anthropic Git MCP服务器三个漏洞可致黑客篡改大语言模型
以色列Cyata公司研究人员发现,Anthropic官方Git MCP服务器存在三个安全漏洞,攻击者可通过提示注入攻击利用这些漏洞操控大语言模型。这些漏洞包括不受限制的git_init、路径验证绕过和git_diff中的参数注入。当Git MCP服务器与文件系统MCP服务器同时启用时,风险将达到临界级别。研究人员敦促企业开发者尽快更新到最新版本以降低安全风险。
对抗AI攻击需要EDR与NDR双重防护策略
随着AI技术在网络攻击中的广泛应用,传统的端点检测响应(EDR)系统面临新挑战。攻击者利用大语言模型隐藏代码、生成恶意脚本,使恶意软件能够实时变形以规避传统防护。网络检测响应(NDR)与EDR的结合成为关键,NDR专注于网络层面的行为异常检测,能够识别EDR遗漏的威胁。面对日益复杂的攻击面和AI加速的威胁,安全团队需要部署多层防护体系,通过EDR和NDR协同工作来应对新兴的AI驱动攻击。
苹果拒绝FBI与微软交出BitLocker密钥对比不公平
微软近日确认向FBI交出三台笔记本电脑的BitLocker加密密钥,引发与苹果拒绝解锁iPhone事件的对比。然而这种对比并不公平:微软能交出密钥是因为用户选择将密钥副本存储在云服务中,采用弱加密以便帮助用户找回密码。用户可选择不在线存储密钥。苹果iCloud数据曾同样采用弱加密,现在用户可启用高级数据保护实现强加密。两家公司最终都将选择权留给用户。
京公网安备 11010802021500号
