1、F5高危漏洞致上万台设备处于风险中

https://www.bleepingcomputer.com/news/security/over-14-000-f5-big-ip-apm-instances-still-exposed-to-rce-attacks/

互联网安全监控组织Shadowserver发现超过14000台F5 BIG-IP APM设备仍暴露在互联网上，正遭受针对关键远程代码执行漏洞的持续攻击。该漏洞CVE-2025-53521此前已被CISA列入已知被利用漏洞目录，CVSS评分已升至9.8分。F5 BIG-IP作为企业网络边缘认证枢纽被广泛部署，其漏洞可能成为攻击者获取初始访问的跳板。尽管供应商已发布安全更新，但大量实例仍未修补。

2、ShinyHunters威胁泄露思科逾300万条记录

https://hackread.com/shinyhunters-hackers-cisco-records-data-leak/

知名黑客组织ShinyHunters向思科发出最终警告，限其在4月3日前联系否则将公开泄露据称窃取的超过300万条Salesforce记录及相关数据。ShinyHunters声称通过三条路径获取数据：UNC6040、Salesforce Aura和被攻陷的AWS账户。泄露数据包括Salesforce记录、个人身份信息、GitHub仓库、AWS存储桶和内部企业数据。

3、FortiClient EMS零日漏洞遭在野利用

https://cybersecuritynews.com/fortinet-forticlient-ems-0-day/

Fortinet发布紧急补丁修复FortiClient EMS中已被积极利用的零日漏洞CVE-2026-35616，该漏洞CVSS评分9.1分。未经身份验证的攻击者可完全绕过API认证和授权控制，在受影响系统上执行任意代码或命令。攻击基于网络且复杂度低，对部署在互联网上的EMS系统尤其危险。仅FortiClient EMS 7.4.5和7.4.6版本受影响，Fortinet已提供紧急补丁，永久修复将在7.4.7版本中提供。

4、Progress ShareFile双漏洞可致服务器被接管

https://cybersecuritynews.com/progress-sharefile-vulnerability/

研究人员发现Progress ShareFile Storage Zones Controller 5.x版本中存在两个严重漏洞CVE-2026-2699（CVSS 9.8）和CVE-2026-2701（CVSS 9.1），攻击者无需登录即可接管暴露在互联网上的本地服务器。第一个漏洞为身份验证绕过，第二个漏洞允许通过恶意文件上传实现远程代码执行。据估计约有3万个该控制器实例暴露在互联网上，极易成为勒索软件攻击目标。Progress已于4月2日发布修复补丁，建议用户升级至5.12.4或6.x版本。

5、研究人员发现设备代码钓鱼攻击激增37倍

https://pushsecurity.com/blog/device-code-phishing/

滥用OAuth 2.0设备授权流程的设备代码钓鱼攻击今年激增超过37倍。攻击者向服务提供商发送设备授权请求获取代码，以各种借口发送给受害者，诱导其在合法登录页面输入代码，从而授权攻击者设备通过有效的访问和刷新令牌访问账户。该流程原本用于简化没有便捷输入选项的设备连接，如IoT设备、打印机、流媒体设备和智能电视。研究人员观察到此类攻击被网络犯罪分子广泛采用，EvilTokens钓鱼即服务平台成为最突出的攻击工具包。

6、虚假ChatGPT广告拦截扩展监视用户

https://hackread.com/fake-chatgpt-ad-blocker-chrome-extension-spy-users/

研究人员发现名为ChatGPT Ad Blocker的恶意Chrome扩展在官方Chrome Web Store上可供下载。当用户打开ChatGPT时，扩展执行DOM克隆过程，创建页面所有内容的副本，然后过滤掉图像和样式以专注于文本用户的私人提示和AI的回答。扩展标记任何超过150个字符的文本并将整个对话发送到Discord私有频道。虽然用户以为只是在阻止广告显示，扩展实际上一直在监视他们与ChatGPT AI聊天机器人的对话。该扩展已于2026年2月10日从商店下架，但已安装的用户可能仍受影响。

7、AI公司Mercor确认泄露4TB数据

https://hackread.com/ai-firm-mercor-breach-hackers-4tb-data/

AI公司Mercor确认遭受与开源工具LiteLLM供应链攻击相关的安全事件。攻击者发布了两个恶意版本的LiteLLM PyPI包（版本1.82.7和1.82.8），虽然被感染包仅存在约40分钟，但影响窗口巨大。TeamPCP和Lapsus组织声称窃取了4TB敏感数据和内部系统访问权限。Mercor确认事件正在处理中，该攻击是影响全球数千家组织的大规模供应链攻击的一部分。

8、多个恶意npm包针对Strapi CMS发起供应链攻击

https://safedep.io/malicious-npm-strapi-plugin-events-c2-agent/

攻击者利用四个傀儡npm账户发布36个伪装成Strapi CMS插件的恶意包，对加密货币支付平台Guardarian实施定向供应链攻击。攻击时间跨度13小时，包含八种不同攻击载荷，展现清晰的战术演进路径。攻击初期采用Redis远程代码执行、Docker容器逃逸等激进手段，后期转向侦察与持久化。载荷包含硬编码PostgreSQL凭据，直接连接目标数据库窃取钱包、交易等敏感表数据。

9、黑客利用Claude Code泄露事件传播窃密木马

https://www.bleepingcomputer.com/news/security/claude-code-leak-used-to-push-infostealer-malware-on-github/

黑客组织利用Anthropic公司Claude Code源代码泄露事件传播Vidar信息窃取恶意软件。3月31日，Anthropic因npm包配置失误意外泄露59.8MB客户端源代码。攻击者迅速在GitHub创建虚假仓库，声称提供"解锁企业版"泄露代码，通过SEO优化使相关搜索结果排名前列，诱导用户下载含恶意可执行文件的压缩包。该木马部署Vidar窃密程序及GhostSocks代理工具，持续更新以规避检测。

10、研究人员发现Akira勒索软件加密速度大幅提升

https://cyberscoop.com/akira-ransomware-initial-access-to-encryption-in-hours/

Akira勒索软件组织已将攻击效率提升至新高度。该组织从初始访问到完成数据加密仅需不到1小时。Akira自2023年活跃至今，累计获取至少2.45亿美元赎金。其攻击手法包括利用零日漏洞、购买初始访问权限及入侵缺乏多因素认证的VPN。该组织采用"间歇加密"技术，将大文件分块处理以提升速度。值得注意的是，Akira投入大量资源开发可靠解密器，甚至自动保存临时文件以防加密中断。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。