1、WordPress插件遭劫持被用于投放恶意软件

https://patchstack.com/articles/critical-supply-chain-compromise-in-smart-slider-3-pro-full-malware-analysis/

WordPress流行插件Smart Slider 3的更新机制遭劫持，用于向网站投放恶意软件。攻击者入侵插件开发者的更新服务器，将合法更新替换为包含恶意载荷的版本。安装被劫持更新的网站自动感染恶意软件，可能被用于窃取用户数据、注入恶意广告或发动进一步攻击。Smart Slider 3安装量超过数百万，此次供应链攻击影响范围广泛。插件开发者已发布清理更新并敦促用户立即升级。

2、EngageSDK漏洞致加密钱包面临数据泄露风险

https://www.microsoft.com/en-us/security/blog/2026/04/09/intent-redirection-vulnerability-third-party-sdk-android/

安全研究团队披露广泛使用的第三方Android SDK EngageSDK（版本4.5.4及更早版本）存在严重意图重定向漏洞，导致超过3000万次安装的第三方加密钱包应用面临个人身份信息、用户凭证及财务数据泄露风险。该漏洞存在于SDK导出的Activity组件中，攻击者可利用同一设备上的恶意应用向该组件发送精心构造的Intent，借助URI_ALLOW_UNSAFE标志绕过Android安全沙箱机制，以受影响应用的权限和身份执行恶意载荷，实现未授权访问受保护组件、敏感数据泄露及权限提升。

3、VENOM钓鱼平台窃取高管登录凭证

https://www.bleepingcomputer.com/news/security/new-venom-phishing-attacks-steal-senior-executives-microsoft-logins/

研究人员披露新型网络钓鱼即服务（PhaaS）平台"VENOM"，该平台自2024年11月起针对多行业首席执行官、首席财务官及副总裁等C级高管发起定向攻击。VENOM采用封闭式运营模式，未在公共渠道及地下论坛推广，增加了研究人员的发现难度。攻击者冒充微软SharePoint文档共享通知发送高度个性化钓鱼邮件，内嵌伪造邮件往来记录及随机HTML代码以增强可信度。邮件包含Unicode编码二维码，诱导受害者使用移动设备扫描，以此绕过传统安全扫描工具。

4、ChipSoft遭勒索软件攻击影响多家医院

https://www.bleepingcomputer.com/news/security/healthcare-it-solutions-provider-chipsoft-hit-by-ransomware-attack/

荷兰医疗IT解决方案提供商ChipSoft遭受勒索软件攻击，影响多家医院。ChipSoft为荷兰医疗行业提供软件解决方案，其系统被入侵后导致依赖其服务的医院运营受到影响。勒索软件组织声称窃取了敏感数据并威胁公开泄露。荷兰当局正在调查此次攻击，受影响医院已采取应急措施确保患者护理连续性。此次攻击凸显了供应链风险，单一服务提供商被入侵可能影响整个行业。

5、欧洲铁路公司确认数据泄露影响30万人

https://www.bleepingcomputer.com/news/security/eurail-says-december-data-breach-impacts-300-000-individuals/

欧洲铁路旅行运营商Eurail BV于2026年4月9日披露，2025年12月26日发生的数据泄露事件导致超过30.8万名旅客个人信息遭窃，包括全名、护照号码、身份证号码、银行账户IBAN、健康信息及联系方式。攻击者已在Telegram发布数据样本并试图在暗网出售。Eurail建议用户警惕网络钓鱼及诈骗，立即更新Rail Planner应用密码，并在其他平台重置相同密码，同时密切监控银行账户异常交易。

6、Lazarus组织在美国注册公司传播恶意软件

https://www.reversinglabs.com/blog/graphalgo-campaign-respawned

研究人员发现针对区块链开发者的新诈骗活动，黑客注册真实美国法律公司欺骗受害者。作为朝鲜关联Lazarus组织的一部分，黑客运行graphalgo活动，创建名为Blocmerce的佛罗里达州LLC，建立模仿合法公司SWFT Blockchain的账户，甚至以Blockmerce和Bridgers Finance名义运营虚假业务。他们还提交官方州文件，列出虚假CEO Alexandre Miller。攻击者通过虚假工作机会诱骗开发者下载恶意软件，窃取加密货币钱包和敏感信息。

7、伊朗APT组织攻击罗克韦尔PLC设备

https://censys.com/blog/iranian-affiliated-apt-targeting-rockwell-allen-bradley-plcs/

多部门联合披露，与伊朗伊斯兰革命卫队网络电子司令部关联的APT组织正对暴露于互联网的罗克韦尔自动化/艾伦-布拉德利PLC发起定向攻击。该组织曾用"CyberAv3ngers"等身份活动，此次利用合法厂商软件直接访问目标设备，无需零日漏洞即可操纵HMI/SCADA显示数据。数据显示全球5219台相关设备暴露于互联网，其中美国占比74.6%，大量设备通过蜂窝调制解调器接入。安全机构建议相关基础设施运营方立即加强网络防护。

8、CPUID遭供应链攻击推送恶意软件

https://www.bleepingcomputer.com/news/security/supply-chain-attack-at-cpuid-pushes-malware-with-cpu-z-hwmonitor/

黑客获取CPUID项目API访问权限，修改官方网站下载链接以推送流行工具CPU-Z和HWMonitor的恶意可执行文件。这两个实用程序拥有数百万用户，用于跟踪计算机内部硬件健康和系统规格。最近下载任一工具的用户报告官方下载门户指向Cloudflare R2存储服务并获取木马化版本的HWiNFO，另一个来自不同开发者的诊断监控工具。恶意文件名为HWiNFO_Monitor_Setup，运行时启动使用Inno Setup包装器的俄语安装程序。研究人员发现涉及使用已知技术战术和程序的高级加载器。

9、Marimo笔记本RCE漏洞公开后遭在野利用

https://www.sysdig.com/blog/marimo-oss-python-notebook-rce-from-disclosure-to-exploitation-in-under-10-hours

开源Python笔记本工具Marimo中发现关键安全漏洞CVE-2026-39987，CVSS评分9.3分，在公开披露后10小时内即遭在野利用。该漏洞为预认证远程代码执行漏洞，影响0.20.4及之前所有版本。与其他正确调用validate_auth函数进行身份验证的WebSocket端点不同，该端点仅检查运行模式和平台支持就接受连接，完全跳过身份验证。攻击者无需任何凭据即可通过单个WebSocket连接在暴露的Marimo实例上获得完整交互shell。Marimo已在0.23.0版本中修复此漏洞。

10、Webloc广告监控系统全球部署曝光

https://citizenlab.ca/research/analysis-of-penlinks-ad-based-geolocation-surveillance-tech/

研究人员揭露由以色列Cobwebs Technologies开发、现由Penlink销售的Webloc全球地理位置监控系统。该系统通过移动应用和数字广告收集数据，监控全球数亿用户，客户涵盖美国ICE、军方、匈牙利情报机构及萨尔瓦多警方等。Webloc作为Tangles情报平台的附加组件，可追踪5亿台移动设备的GPS坐标、Wi-Fi位置、设备信息及用户画像，支持三年历史数据回溯。技术分析显示，Cobwebs服务器分布于全球25个国家，其关联公司还开发具备社会工程功能的"Trapdoor"系统。报告呼吁监管机构彻查此类侵入性大规模监控技术的法律合规性，加强对数据供应链的审查。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。