https://socket.dev/blog/6-malicious-packagist-themes-ship-trojanized-jquery
研究人员在PHP的Packagist仓库中识别出了6个发布在ophimcms命名空间下的恶意软件包。这些包模仿了OphimCMS的命名规范,这是一款专门用于电影流媒体网站的越南语Laravel开源内容管理系统。这6个软件包均携带了被植入恶意代码的JavaScript资源,主要伪装成合法的jQuery库。其恶意行为包括流量劫持、数据外泄、广告注入等。截至报告发布时,这些软件包在Packagist上仍处于活跃状态。研究人员已向Packagist安全团队提交了下架请求。
研究人员发现,LeakNet勒索组织正在利用ClickFix技术(一种通过伪造错误提示,诱导用户手动运行恶意命令的社会工程学手段)通过被攻击的合法网站传播恶意文件。研究人员识别出一种基于Deno构建的分阶段C2加载器,该加载器主要在内存中执行载荷。在所有已确认的LeakNet相关事件中,研究人员发现攻击者会进行相同的后期渗透行为。
苹果公司发布了首个后台安全改进更新,旨在修复iPhone、iPad和Mac上一个编号为CVE-2026-20643的WebKit漏洞,且无需进行完整的操作系统升级。这是苹果首次通过其全新的后台安全改进功能推送安全修复程序。该功能用于在正常软件更新周期之外,交付小型的带外补丁。CVE-2026-20643漏洞允许恶意网页内容绕过浏览器的同源策略。苹果表示,该漏洞是Navigation API中的一个跨域问题,目前已通过改进输入验证得到解决。
https://www.freebuf.com/articles/system/474012.html
Ubuntu Desktop 24.04 及后续版本默认安装中存在本地提权(LPE)漏洞(CVE-2026-3888),允许非特权本地攻击者获取完整 root 权限。该漏洞由 Qualys 威胁研究团队发现,源于 snap-confine 与 systemd-tmpfiles 两个标准系统组件间的非预期交互,由于这两个组件深度集成于 Ubuntu 默认部署中,使得该漏洞尤为危险。
医疗科技巨头史赛克遭亲巴黑客组织Handala攻击,8万台设备被远程擦除,50TB数据被盗。攻击者利用微软Intune入侵,医疗设备未受影响。该组织疑为伊朗支持,擅长破坏性攻击。
https://cybersecuritynews.com/angular-xss-vulnerability-xss-attacks/
Angular高危XSS漏洞(CVE-2026-32635)影响@angular/compiler和@angular/core,因i18n处理敏感属性时绕过安全净化。攻击者可劫持会话、窃取数据或执行未授权操作。建议升级至修复版本或严格净化用户输入绑定数据。
ClickFix攻击转向macOS,利用ChatGPT诱饵升级社会工程手段,部署MacSync等窃取程序,从简单终端欺骗发展为模块化内存攻击,窃取敏感数据并绕过防护机制,威胁日益隐蔽高效。
https://www.freebuf.com/articles/ai-security/473903.html
自OpenClaw成为Agentic AI领域最受关注的技术以来,短短数周内,其企业级应用安全性不足的问题持续引发担忧。在英伟达GPU技术大会(GTC)上,CEO黄仁勋发布了解决方案:NemoClaw平台。
https://www.secrss.com/articles/88579
DARKNAVY 近日发现并报告了 OpenAI Codex 桌面端中一处严重的未授权代码执行漏洞。该漏洞绕过了 Codex 的默认权限限制,攻击者仅需诱导用户打开恶意构造的代码仓库/文件夹,即可在无需用户任何授权的情况下静默触发代码执行。该漏洞目前尚未修复,且社区已出现第三方复现案例,建议广大开发者与企业用户保持警惕,切勿随意打开未确认来源的代码仓库,以防源码等关键数据资产泄露。
https://thehackernews.com/2026/03/critical-telnetd-flaw-cve-2026-32746.html
网络安全研究人员披露了一个影响 GNU InetUtils telnet 守护进程(telnetd)的关键安全漏洞,未经身份验证的远程攻击者可以利用该漏洞以提升的权限执行任意代码。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
