1、KONNI组织利用AI生成PowerShell后门

https://research.checkpoint.com/2026/konni-targets-developers-with-ai-malware/

研究人员监测到与朝鲜关联的威胁组织KONNI发起的新一轮钓鱼攻击活动，该组织此次突破传统攻击范围，将目标拓展至亚太地区多国，并创新性采用AI生成的PowerShell后门，凸显黑客组织对AI工具的应用趋势。KONNI自2014年起活跃，过往主要聚焦韩国境内目标，重点攻击外交、学术、政府等领域，惯用伪装地缘政治主题文档的鱼叉式钓鱼手法。而本次活动呈现显著新特征：地理范围大幅扩张，VirusTotal上的样本提交信息显示，攻击已覆盖日本、澳大利亚、印度等亚太国家，突破了其传统作战区域。本次攻击值得注意的的是AI生成的PowerShell后门，这一技术应用反映出包括朝鲜关联团伙在内的威胁组织正逐步接纳AI赋能工具。

2、Sandworm组织动用新型恶意软件攻击波兰电力部门

https://thehackernews.com/2026/01/new-dynowiper-malware-used-in-attempted.html

俄罗斯国家背景黑客组织Sandworm对波兰电力系统发动了号称“规模最大”的网络攻击，波兰能源部长米洛什·莫蒂卡证实此次攻击未获成功，该国网络空间部队监测到这起近年来针对能源基础设施的最强攻击。斯洛伐克网络安全公司ESET发布报告称，此次攻击由Sandworm组织实施，其部署了一款此前未被记录的擦除型恶意软件，代号DynoWiper。研究人员基于该恶意软件与Sandworm过往（尤其是2022年俄乌冲突后）擦除工具的行为特征重叠，以中等置信度将攻击归因于该组织，且确认未造成基础设施运行中断。攻击目标包括两座热电联产电厂，以及一个管理风力涡轮机、光伏电站等可再生能源发电的系统。

3、黑客利用telnetd身份认证绕过漏洞获取root权限

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-telnetd-auth-bypass-flaw-to-get-root/

研究人员监测到一起协同攻击活动，目标直指GNU InetUtils telnetd服务器中存在长达11年的高危漏洞，该漏洞编号为CVE-2026-24061，于2026年1月20日被披露，利用难度极低且已有多个POC漏洞利用代码公开，对相关系统构成严重威胁。该漏洞源于telnetd组件在调用“/usr/bin/login”程序时对环境变量处理不当，未对用户可控的USER环境变量进行净化便直接传递给登录程序。攻击者只需将USER变量设为“-f root”，并通过“telnet -a”命令连接，即可绕过身份验证流程，直接获取系统root权限。漏洞影响GNU InetUtils 1.9.3（2015年发布）至2.7的所有版本，目前已在2.8版本中修复。受影响的主流Linux发行版包括Debian 12、Debian 13、Ubuntu 24.04+及Kali Linux，官方针对部分发行版推出了专属安全补丁。对于无法升级的用户，建议立即禁用telnetd服务或在防火墙中封禁TCP 23端口。

4、第三届Pwn2Own汽车安全竞赛揭露了76个零日漏洞

https://www.theregister.com/2026/01/25/pwn2own_automotive_2026_identifies_76_0days/

上周举办的第三届Pwn2Own Automotive汽车安全竞赛，曝光了76个独特的零日漏洞，攻击目标涵盖特斯拉信息娱乐系统至电动汽车充电器等各类汽车软件系统，成为汽车软件安全领域的一次集中考验。本次竞赛在东京汽车世界展会举办，共收到创纪录的73份参赛申请，尽管并非所有尝试都取得成功，趋势科技零日计划（Zero Day Initiative）仍向成功的参赛者发放了超过100万美元奖金。竞赛中，Fuzzware.io团队凭借7次成功演示，以28分总分斩获“破解大师”称号，累计赢得215500美元奖金。该团队在首日利用Alpitronic HYC50电动汽车充电器的越界写入漏洞，单次获得60000美元奖金及6分，创下本次赛事最高单笔奖金纪录。

5、耐克公司就WorldLeaks宣称的数据泄露事件展开调查

https://securityaffairs.com/187303/data-breach/nike-is-investigating-a-possible-data-breach-after-worldleaks-claims.html

网络犯罪组织WorldLeaks宣称窃取耐克1.4TB数据，耐克正调查。该组织由勒索转型为纯数据窃取，已入侵数百机构。运动品牌频遭攻击，Under Armour此前7200万客户数据泄露。

6、未受保护数据库泄露4800万Gmail及650万Instagram账户凭证

https://cybersecuritynews.com/48m-gmail-6-5m-instagram-exposed-online/

1.49亿条未加密的登录凭证在线暴露，涉及Gmail、Facebook等平台，含政府账户和金融信息，威胁全球用户安全。专家建议启用双因素认证、使用密码管理器并检查异常登录。

7、Node.js二进制解析库曝高危漏洞可导致恶意代码注入

https://cybersecuritynews.com/node-js-binary-parser-library-vulnerability/

Node.js二进制解析库binary-parser（<2.3.0）存在高危代码注入漏洞（CVE-2026-1245），攻击者可通过恶意输入执行任意代码。建议立即升级至2.3.0版本并严格验证输入参数。

8、 CISA 警告：VMware vCenter高危 RCE漏洞已被利用

https://securityonline.info/cisa-alert-critical-vmware-vcenter-rce-cvss-9-8-now-exploited-in-the-wild/

美国CISA警告Broadcom VMware vCenter Server高危漏洞（CVE-2024-37079，CVSS 9.8）正被黑客利用，可远程控制服务器。补丁已发布但仍有攻击，联邦机构被要求2026年前修复。

9、废弃Python PLY库曝出严重RCE漏洞

https://securityonline.info/ghost-in-the-code-critical-rce-found-in-abandoned-python-ply-library-cvss-9-8/

Python解析库PLY曝高危漏洞CVE-2025-56005（CVSS 9.8），未记录的picklefile参数可致远程代码执行。维护者已放弃项目，建议用户迁移至其他解析库，避免使用该参数并审计代码。

10、“MacSync”恶意软件诱导用户“亲手”入侵自己的设备

https://www.anquanke.com/post/id/314522

一种高度复杂的新型恶意软件攻击正瞄准 macOS 用户，它将社会工程学与技术隐蔽性结合得极为致命。这个名为 MacSync 的恶意软件被包装成 “恶意软件即服务”（MaaS），伪装成合法的云存储安装程序，诱骗用户亲手感染自己的设备，并专门窃取加密货币钱包和各类凭据。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。