1、日本国际物流巨头KWE遭勒索攻击

https://therecord.media/kintetsu-world-express-ransomware-attack-japan

2025年4月30日，日本知名国际物流企业近铁环球快运（Kintetsu World Express，KWE）公开证实遭遇勒索软件攻击，部分系统运行中断。该公司总部位于东京，隶属于日本近铁集团控股公司，业务覆盖全球30余个国家的空运及海运货运代理服务。KWE声明称，目前尚未锁定具体攻击组织，正全力修复受影响的系统，并承诺若确认客户数据泄露将第一时间通知相关方。

2、Gremlin Stealer木马突破Chrome防护窃取数据

https://cybersecuritynews.com/new-germlin-stealer-advertised-on-hacker-forums/

2025年4月30日，研究人员披露，一款名为Gremlin Stealer的新型信息窃取木马自3月起在地下黑客论坛及Telegram渠道公开售卖。该木马针对Windows系统，可窃取浏览器数据、加密货币钱包密钥、即时通讯应用及VPN登录凭证，并首次实现自动化提取用户存储的信用卡信息。该木马的多模块化设计集成了多种窃密功能，极大提高了攻击效率。

3、黑客利用GetShared共享服务绕过防御部署恶意软件

https://cybersecuritynews.com/hackers-leveraging-getshared-to-deploy-malware/

2025年4月30日，研究人员发现黑客正在利用合法文件共享服务GetShared作为新的攻击媒介。攻击者通过该平台分发恶意软件和开展钓鱼活动，成功规避了传统电子邮件安全检测。这种攻击手法利用了用户对知名平台通知的信任，代表了一种绕过邮件网关安全控制的新型威胁。专家警告，这种利用可信服务的攻击方式正在成为网络安全防御的新挑战。

4、三星MagicINFO平台被发现远程代码执行漏洞

https://cybersecuritynews.com/samsung-magicinfo-vulnerability/

2025年4月30日，三星电子数字标牌管理平台MagicINFO被曝存在高危路径遍历漏洞（CVE-2024-7399）。该漏洞影响MagicINFO 9 Server 21.1050之前版本，攻击者可利用未经验证的/MagicInfo/servlet/SWUpdateFileUploader端点上传恶意JSP文件，以系统权限执行任意代码。研究人员指出，该端点未实施身份验证、文件名校验及扩展名检查，导致攻击者完全控制目标服务器。三星暂未公开修复方案，建议用户立即升级至最新版本并禁用未授权访问。

5、攻击者利用伪造的验证码网页部署NodeJS远程控制木马

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/yet-another-nodejs-backdoor-yanb-a-modern-challenge/

2025年4月29日，Trustwave SpiderLabs安全研究团队披露攻击者通过伪造的验证码(CAPTCHA)网页引诱用户执行NodeJS后门，进而部署复杂的NodeJS远程控制木马。该攻击活动自2024年9月持续至今，用户访问被入侵的合法网站后，攻击者通过注入恶意代码加载外部JavaScript文件，该文件会收集用户系统信息并回传至攻击者控制的服务器。随后，用户端被定向至仿冒的验证码验证页面，实际为部署NodeJS 远程控制木马。该木马具备多项恶意功能，包括但不限于系统信息窃取、敏感数据加密传输等，并可进一步部署多功能的后门模块，以维持长期隐蔽的访问权限。

6、SonicWall多款设备漏洞遭在野利用

https://thehackernews.com/2025/05/sonicwall-confirms-active-exploitation.html

2025年4月29日，SonicWall确认其SMA100系列安全移动访问设备的两个漏洞（CVE-2023-44221、CVE-2024-38475）正遭在野利用。CVE-2023-44221是因SSL-VPN管理界面未正确处理特殊元素，允许攻击者注入任意命令。CVE-2024-38475则是因Apache HTTP Server的mod_rewrite未正确转义输出，攻击者可将URL映射到服务器允许访问的文件系统位置。目前这两个漏洞分别于2023年12月4日、2024年12月4日被修复。SonicWall敦促用户检查SMA 设备有无未授权登录。

7、TensorRT-LLM高危漏洞可导致攻击者远程执行代码

https://cybersecuritynews.com/nvidia-tensorrt-llm-high-severity-vulnerability/

NVIDIA在其TensorRT-LLM框架中披露并修补了一个高危漏洞（CVE-2025-23254），该漏洞影响低于0.18.2版本的Windows、Linux和macOS平台，攻击者通过本地访问利用该漏洞可执行恶意代码、篡改数据，进而危及AI系统。漏洞源于Python执行器组件的套接字IPC系统中对Python pickle序列化/反序列化机制的不安全处理，属于CWE-502（不信任数据的反序列化）类别，可致远程代码执行。NVIDIA已于4月29日发布0.18.2版本修复该漏洞，该版本在基于套接字的IPC系统中默认实施HMAC加密，以防止漏洞利用。

8、恶意PyPI包滥用Gmail的SMTP服务器执行命令

https://cybersecuritynews.com/gmails-smtp-protocol-abused/

Socket威胁研究团队发现7个恶意PyPI包，这些包利用Gmail的SMTP服务器和WebSocket进行数据窃取与远程命令执行，其下载量超 1.8 万次。这些包使用硬编码凭证与Gmail服务器建立SMTP连接，创建双向隧道，使攻击者可执行命令并窃密数据。主要包Coffin-Codes-Pro建立初始连接后，创建WebSocket 作为命令与控制通道。可能令攻击者访问内部仪表板、API和管理面板、传输文件、执行shell命令、收集凭证和敏感信息、建立持久性以进一步渗透网络。

9、Magento供应链攻击致数百电商支付功能遭劫持

https://www.bleepingcomputer.com/news/security/magento-supply-chain-attack-compromises-hundreds-of-e-stores/

网络安全公司Sansec披露一起针对Magento电商平台的供应链攻击事件。攻击者通过篡改第三方应用市场中的合法扩展模块，向全球数百家在线商店注入恶意代码，用户在下载安装后触发自动感染，劫持用户支付流程以窃取信用卡信息。恶意脚本通过伪造支付页面收集敏感数据，并将信息回传至攻击者控制的服务器，部分受害网站被植入代码长达数月未被察觉。受影响平台覆盖零售、物流等多个领域。

10、Netgear EX6200漏洞可导致远程代码执行

https://gbhackers.com/netgear-ex6200-flaw/

安全研究人员披露Netgear EX6200无线扩展器存在高危漏洞（CVE-2025-11384），攻击者可利用未授权访问漏洞远程执行恶意代码，完全控制设备。该漏洞影响固件版本V1.4.0.98及更早型号。漏洞利用链通过UPnP服务端口（TCP/5000）触发缓冲区溢出，攻击者无需认证即可植入后门程序，劫持网络流量或部署僵尸网络。目前全球仍有超12万台设备在线运行，主要分布在家用及中小型企业网络环境。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。