1、ShinyHunters针对100多家大型机构发起身份窃取攻击

https://hackread.com/shinyhunters-target-firms-bypass-sso-security/

研究人员披露，ShinyHunters与Scattered Lapsus$ Hunters组成的SLSH联盟，正针对超100家大型机构发起大规模身份窃取攻击。该联盟摒弃自动化工具，采用人工语音钓鱼（vishing）模式，通过致电员工或服务台，诱导泄露登录信息。其借助“实时钓鱼面板”搭建仿冒单点登录（如Okta）页面，实时拦截用户凭证及手机验证码，绕过常规安全防护，获“万能钥匙”般全公司系统访问权限。攻击后，黑客窃取敏感文件勒索，拒付则锁定数据，还冒用账号伪装同事通过Slack、Teams扩大权限。受害者覆盖电信、保险、科技等多行业，含Telstra、Canva等知名企业。近期ShinyHunters活跃度飙升，暗网新建泄露站点，因勒索未遂已公开SoundCloud、Panera Bread等企业数百万条用户数据，凸显其“不付款就泄露”的核心策略。

2、6000余台SmarterMail服务器易受严重认证绕过漏洞攻击

https://securityaffairs.com/187394/hacking/shadowserver-finds-6000-likely-vulnerable-smartermail-servers-exposed-online.html

非营利组织Shadowserver监测发现，全球超6000台SmarterMail服务器暴露于公网，大概率易受CVE-2026-23760严重认证绕过漏洞攻击。该漏洞由watchTowr于1月8日披露，SmarterTools1月15日发布9511版本修复，初期未分配CVE编号。漏洞存在于密码重置接口，匿名攻击者仅凭管理员用户名即可重置密码，劫持账号后实现远程代码执行，进而完全控制服务器，目前已监测到在野利用尝试。地域分布上，美国受影响服务器最多（4100台），马来西亚、印度、加拿大及英国紧随其后。本周CISA将其纳入关键漏洞目录，要求联邦民事执行分支机构于2月16日前完成修复，watchTowr亦已发布对应漏洞验证代码。

3、研究人员发现伪装成ChatGPT辅助工具的恶意浏览器扩展

https://hackread.com/fake-chatgpt-extensions-hijack-user-accounts/

研究人员发现16款恶意浏览器扩展，伪装成ChatGPT生产力工具窃取用户会话令牌，进而劫持账号。这些扩展由同一攻击者开发，15款上架Chrome应用商店（含一款获“精选”标识）、1款登Edge商店，批量上传且代码、图标高度相似，累计下载约900次。扩展以高权限运行，可规避传统安全检测，窃取ChatGPT数据及关联工作平台信息，与指定恶意域名通信。研究人员提醒，需警惕未知AI辅助扩展，及时删除可疑插件以防信息泄露。

4、Cloudflare配置错误引发BGP路由泄露

https://www.bleepingcomputer.com/news/security/cloudflare-misconfiguration-behind-recent-bgp-route-leak/

Cloudflare披露，1月22日因路由器策略误配置，引发持续25分钟的BGP路由泄露，影响IPv6流量，导致拥堵、丢包及约12Gbps流量丢失，波及外部网络。该事件属于RFC7908定义的3类和4类路由泄露，因修改迈阿密节点配置时移除特定前缀列表，导致内部IPv6路由被违规对外广播。Cloudflare迅速手动恢复配置、暂停自动化，25分钟内遏制影响，此次事件与2020年7月事故相似，目前已提出加强防护措施，包括严格出口校验、CI/CD检测等。

5、攻击者利用React2Shell漏洞针对IT行业发起攻击

https://cybersecuritynews.com/attackers-exploiting-react2shell-vulnerability/

威胁行为者利用React2Shell漏洞（CVE-2025-55182）攻击保险、电商和IT行业，通过不安全的反序列化执行恶意代码，投放挖矿程序和僵尸网络。补丁已发布，但需检查系统是否被入侵。建议更新依赖项并限制实验性功能使用。

6、沙盒防护遭突破：n8n关键漏洞可导致远程代码执行

https://securityonline.info/sandbox-shattered-critical-n8n-flaw-cvss-9-9-allows-remote-code-execution/

n8n工作流平台曝高危RCE漏洞（CVE-2026-1470，CVSS 9.9），表达式评估系统隔离失效导致认证用户可突破沙盒执行任意代码，影响1.123.17及2.0.0-2.5.1版本，需立即升级修复。

7、Anthropic CEO警告：人类或未准备好迎接先进AI时代

https://siliconangle.com/2026/01/26/anthropic-ceo-warns-humanity-may-not-ready-advanced-ai/

Anthropic CEO警告强大AI将带来多重风险，包括自主性失控、滥用威胁及地缘政治危机，呼吁精准监管与社会调整。他强调AI可能颠覆劳动力市场并引发哲学困境，但承认技术发展难以限制，需平衡机遇与风险。

8、谷歌Protocol Buffers曝出高严重性拒绝服务漏洞

https://www.anquanke.com/post/id/314571

谷歌旗下被广泛应用的结构化数据序列化工具Protocol Buffers（简称 protobuf，协议缓冲区） 中发现一处高严重性漏洞，该漏洞编号为CVE-2026-0994，仅影响其 Python 实现版本，攻击者可利用此漏洞发起拒绝服务（DoS）攻击，导致相关服务崩溃。

9、Oracle Agile PLM严重漏洞威胁制造业供应链安全

https://www.freebuf.com/articles/vuls/468386.html

2026年1月，Oracle 在其关键补丁更新（CPU）中披露了一个影响 Oracle Agile Product Lifecycle Management for Process 产品的严重安全漏洞，编号为 CVE-2026-21969。该漏洞 CVSS v3.1 评分高达 9.8，属于严重级别，影响范围广泛，可能导致企业核心知识产权泄露和供应链安全风险。

10、国家漏洞库发布关于Microsoft Office安全漏洞的通报

https://www.secrss.com/articles/87400

近日，国家信息安全漏洞库（CNNVD）收到关于Microsoft Office安全漏洞（CNNVD-202601-4359、CVE-2026-21509）情况的报送。攻击者可通过构造恶意Office文档绕过用户保护机制，进而执行恶意代码。Microsoft Office多个版本均受此漏洞影响。目前，微软官方已发布补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。