1、Kimsuky黑客组织利用恶意二维码发起钓鱼攻击

https://thehackernews.com/2026/01/fbi-warns-north-korean-hackers-using.html

美国联邦调查局（FBI）发布预警，称朝鲜国家支持的Kimsuky组织正利用恶意二维码开展鱼叉式钓鱼（Quishing）攻击，目标涵盖美国智囊团、学术机构及美外国政府实体。攻击通过诱导受害者用防护较弱的移动设备扫码，绕过传统防御。该组织多次实施攻击，包括仿冒外国顾问、使馆人员等推送二维码，诱导访问受控基础设施或伪造登录页面窃取谷歌账号凭证。此类攻击常窃取会话令牌绕过多因素认证（MFA）劫持云身份，后续可建立持久控制并发起二次钓鱼，因源于未受管理的移动设备，已成为企业环境中高可信度的身份入侵向量。

2、NodeCordRAT远控木马通过恶意NPM包进行传播

https://hackread.com/discord-nodecordrat-steal-chrome-data-npm-packages/

研究人员发现，三款伪装成比特币库的恶意NPM包可传播NodeCordRAT远程控制木马，专门针对加密货币领域人群。这三款包名为bip40、bitcoin-lib-js、bitcoin-main-lib，累计下载量超3400次，仿冒合法bitcoinjs项目名称诱导开发者下载。安装前两款包会自动拉取含病毒的bip40，过程无任何提示。该木马通过Discord私人频道接收指令控制受感染设备，支持执行shell命令、截取桌面截图、窃取文件等操作，重点靶向Chrome保存密码、MetaMask钱包助记词与密钥及API密钥等敏感信息。

3、思科交换机因DNS客户端漏洞陷入重启循环

https://www.bleepingcomputer.com/news/security/cisco-switches-hit-by-reboot-loops-due-to-dns-client-bug/

据报道，多款思科交换机因固件DNS客户端漏洞陷入反复重启循环，严重扰乱网络运营。该漏洞于凌晨2时左右开始显现，会将DNS解析失败判定为致命错误，导致设备重启，故障源于DNS客户端解析思科域名及NTP时间服务器时出错，重启周期仅数分钟。受影响型号包括CBS250、SG350、Catalyst C1200等系列，多个独立网络同期出现故障，推测为全球触发或时间相关条件所致。思科暂未公开根源，但已向客户确认问题。管理员发现禁用DNS解析、关闭SNTP等临时方案可终止重启循环，即便DNS服务器正常可用。

4、委内瑞拉国有电信公司CANTV发生BGP泄露

https://securityonline.info/spy-games-or-glitch-the-truth-behind-venezuelas-bgp-leak/

美国抓捕马杜罗军事行动前夕，委内瑞拉国有电信公司CANTV（AS8048）发生BGP泄露，部分分析人士猜测系美国政府蓄意劫持流量获取情报。但Cloudflare研究员经历史路由数据分析得出结论，该事件实为CANTV工程师技术失误与配置不当所致。2026年1月2日泄露发生时，CANTV流量异常转向安全声誉较差的意大利运营商Sparkle，但异常路径存在多次AS路径前置导致路由优先级极低，与刻意窃密行为不符。且CANTV自2025年12月已发生11次类似泄露，加之其作为上游运营商本就可合法访问客户流量，无需复杂劫持。

5、攻击者通过仿冒AI聊天的浏览器扩展窃取信息

https://hackread.com/fake-chatgpt-deepseek-extensions-spy-chrome-users/

研究人员披露两款仿冒AI聊天的浏览器扩展暗中监视超90万Chrome用户，分别为“Chat GPT for Chrome with GPT-5”（60万安装量）和“AI Sidebar with Deepseek”（30万安装量）。两款扩展仿冒合法工具AITOPIA，其一还骗取谷歌“精选”标识，以“匿名分析”为由获取权限后，通过DOM抓取技术读取用户在ChatGPT、DeepSeek的聊天内容，每30分钟将提示词、AI回复、会话令牌等敏感数据发送至外部服务器。卸载一款会自动跳转至另一款，依赖Lovable.dev托管虚假隐私政策。截至2026年1月7日，两款扩展仍可下载，研究人员提醒用户立即排查并移除特定ID插件，警惕过度权限请求。

6、英国宣布强化公共部门网络防御计划

https://www.bleepingcomputer.com/news/security/uk-announces-plan-to-strengthen-public-sector-cyber-defenses/

英国宣布一项新的网络安全战略，计划投入超2.1亿英镑（约合2.83亿美元）强化政府部门及更广泛公共部门的网络防御。该措施隶属于政府网络行动计划，将设立专门的政府网络部门协调风险管理与事件响应，旨在保障公民使用福利、医疗、税务等在线公共服务的安全。计划包含制定最低安全标准、提升政府网络风险可见性、要求部门具备强大应急响应能力等，还将推出软件安全大使计划，思科、帕洛阿尔托网络等多家企业将参与推广最佳实践。此前英国已通过相关立法强化关键基础设施防御，禁止公共部门支付勒索赎金，并推动移动运营商升级系统打击诈骗，此次计划进一步完善公共部门网络安全防护体系。

7、Astaroth银行木马利用WhatsApp在巴西传播

https://securityaffairs.com/186685/malware/astaroth-banking-trojan-spreads-in-brazil-via-whatsapp-worm.html

恶意软件Astaroth通过名为“Boto Cor-de-Rosa”的新活动，借助WhatsApp网页版以蠕虫形式传播。攻击始于含恶意ZIP文件的WhatsApp消息，用户打开后会运行伪装的VBScript脚本，下载并安装Astaroth木马及Python编写的WhatsApp传播模块。该恶意软件分为两大模块：传播模块窃取受害者WhatsApp联系人列表，自动发送含恶意ZIP的葡萄牙语本地化消息，形成持续感染循环；银行模块后台监控浏览行为，窃取网银凭证实施金融诈骗。Astaroth通过MSI加载器结合合法工具规避检测，此次采用多语言开发提升模块化程度，凸显银行木马融合社会工程与自动化传播的进化趋势。

8、Veeam发布安全更新修复软件中的多个漏洞

https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/

Veeam发布安全更新修复其Backup & Replication软件中的多个漏洞，含高危远程代码执行（RCE）漏洞CVE-2025-59470，该漏洞影响13.0.1.180及更早13系列版本，授权操作员可通过恶意参数执行代码。此次更新还修复另两个高危（CVE-2025-55125）和中危漏洞，攻击者可通过恶意备份配置文件或密码参数实现RCE。Veeam备份软件广泛应用于大中型企业，全球超55万客户使用，却常成勒索软件团伙目标，此前Cuba、Frag等团伙曾利用其漏洞攻击。

9、攻击者利用“MAESTRO”工具包实现ESXi虚拟机逃逸

https://securityonline.info/vm-isolation-is-not-absolute-researchers-unmask-sophisticated-esxi-maestro-exploit/

攻击者利用“MAESTRO”工具包实现VMware ESXi虚拟机逃逸，夺取底层虚拟机管理程序控制权。攻击始于SonicWall VPN账号泄露，经横向移动后部署工具包，通过禁用VMware驱动、BYOVD技术加载恶意驱动突破防御。逃逸后，攻击者不再依赖防火墙可能捕捉到的标准网络连接，而是部署“VSOCKpuppet”后门，利用VSOCK通道隐蔽通信规避网络监控，VSOCK是一种用于主机-访客通信的高速接口。通过劫持该通道，攻击者创建了一个隐秘的命令行，完全绕过了传统的网络监控。

10、伊朗在全国抗议期间发生大规模互联网中断

https://techcrunch.com/2026/01/08/internet-collapses-in-iran-amid-protests-over-economic-crisis/

据网络监测机构消息，伊朗在全国抗议期间发生大规模互联网中断。伊朗互联网陷入“近乎全面断网”状态，NetBlocks、Cloudflare等多家机构均监测到该国网络连接量骤降。此次断网源于2025年12月底爆发的全国抗议，抗议由货币大幅贬值引发，导致商品短缺、物价飙升，德黑兰传统集市部分商铺已停业11天，伊朗政府对抗议者实施了暴力镇压。伊朗网络安全研究员指出，对互联网拥有严密控制权的伊朗政府是此次断网的幕后推手，目前伊朗政府尚未就此回应，其外交部网站也处于无法访问状态。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。