1、GlassWorm新变种利用Zig投放器窃取密钥

https://thehackernews.com/2026/04/glassworm-campaign-uses-zig-dropper-to.html

安全研究人员发现GlassWorm攻击活动出现新变种，通过恶意Open VSX扩展，利用Zig编译的本地二进制文件感染开发者计算机上的所有IDE。该扩展伪装成流行的WakaTime编程时间追踪工具，目前已被下架。攻击者在沙箱外执行Zig编写的Node.js原生插件，获取完整操作系统权限。并静默安装的第二阶段恶意扩展。该扩展模仿合法工具通过Solana区块链获取C2指令，窃取敏感数据并部署远程访问木马。

2、OpenAI应对Axios供应链攻击轮换macOS证书

https://openai.com/index/axios-developer-tool-compromise/

OpenAI披露其macOS应用签名流程受第三方库Axios供应链攻击影响，已启动证书轮换程序。2026年3月31日，攻击者通过入侵的Axios版本1.14.1渗透GitHub Actions工作流，该工作流可访问ChatGPT Desktop、Codex等应用的macOS签名证书。尽管技术分析认为证书可能未被成功窃取，OpenAI仍出于谨慎吊销旧证书。

3、AWS工具包曝"上帝模式"权限提升漏洞

https://unit42.paloaltonetworks.com/exploit-of-aws-agentcore-iam-god-mode/

AWS Amazon Bedrock AgentCore入门工具包默认部署存在严重权限提升漏洞。该工具包自动创建的IAM角色授予AI代理账户级全域权限，而非单资源限制，形成"代理上帝模式"攻击路径。攻击者一旦攻破单个代理，即可利用过度权限泄露专有ECR镜像、访问其他代理记忆、调用所有代码解释器并提取敏感数据。攻击链涉及三阶段：首先利用ECR通配符权限拉取目标镜像，接着从容器配置中恢复MemoryID，最终跨代理窃取或篡改对话历史。

4、ShowDoc高危漏洞遭野外利用

https://thehackernews.com/2026/04/showdoc-rce-flaw-cve-2025-0520-actively.html

安全研究人员披露广受欢迎的文档协作平台ShowDoc存在的高危漏洞CVE-2025-0520（CVSS评分9.4）已被攻击者积极利用。该漏洞源于文件扩展名验证不当导致的不受限文件上传，攻击者无需认证即可上传PHP文件并执行任意代码，实现远程代码接管。据监测，已有攻击利用该漏洞向美国蜜罐服务器投放Web Shell。目前全球超过2000个ShowDoc在线实例暴露于风险中。该漏洞早在2020年10月发布的2.8.7版本中已修复，当前最新版本为3.8.1，但仍有大量服务器未及时更新。

5、wolfSSL关键漏洞允许使用伪造证书

https://www.bleepingcomputer.com/news/security/critical-flaw-in-wolfssl-library-enables-forged-certificate-use/

wolfSSL SSL/TLS库中发现关键漏洞CVE-2026-5194，在检查ECDSA签名时对哈希算法或其大小的验证不当，可能削弱安全性。攻击者可利用此问题强制目标设备或应用程序接受恶意服务器或连接的伪造证书。wolfSSL是用C语言编写的轻量级TLS/SSL实现，专为嵌入式系统物联网设备工业控制系统路由器家电传感器汽车系统甚至航空航天或军事设备设计。

6、黑客冒充OpenSSF领袖瞄准开发者发起网络钓鱼

https://hackread.com/openssf-malware-slack-linux-foundation-figures/

研究人员披露一起针对软件开发人员的Slack钓鱼攻击。攻击者冒充Linux基金会知名领导人，在开源社区工作区发送私信，以"秘密AI代码预测工具"为诱饵，诱导开发者安装恶意根证书及后门程序。该攻击采用高度定制化社会工程手段，声称工具"仅向少数人分享"，并提供虚假邮箱及访问密钥增强可信度。受害者被引导至仿冒Google Workspace页面，输入信息后需安装伪装成谷歌证书的恶意根证书，该证书可绕过安全机制、解密网络流量并窃取数据。该攻击手法与近期归因于朝鲜国家黑客的Node.js开发者攻击活动类似。

7、欧洲健身巨头遭入侵百万会员数据泄露

https://www.bleepingcomputer.com/news/security/european-gym-giant-basic-fit-data-breach-affects-1-million-members/

欧洲最大健身连锁品牌Basic-Fit披露一起严重数据泄露事件。据其官方声明，黑客未经授权访问了记录会员到访信息的系统，导致约100万名会员个人信息遭窃取，涉及荷兰、比利时、卢森堡、法国、西班牙及德国六国。经调查确认，泄露数据包括会员姓名、住址、电子邮箱、电话号码、出生日期、银行账户详情及其他会员信息。Basic-Fit强调，其系统监控程序在数分钟内即发现并阻止了入侵行为，且加盟店客户数据因存储于独立系统未受影响。

8、FBI跨国查封W3LL钓鱼平台并抓捕开发者

https://www.fbi.gov/contact-us/field-offices/atlanta/news/fbi-atlanta-indonesian-authorities-take-down-global-phishing-network-behind-millions-in-fraud-attempts

美国联邦调查局亚特兰大分局联合印尼当局开展首次跨国协调执法行动，成功捣毁全球知名钓鱼平台"W3LL"，查封其基础设施并逮捕核心开发者。该平台作为全方位网络犯罪工具市场，曾促成超2.5万个被盗账户交易，涉案金额逾2000万美元。W3LL钓鱼工具套件售价500美元，采用中间人攻击技术代理合法登录门户，可实时截获凭证、一次性MFA验证码及会话Cookie，实现多因素认证绕过。2019至2023年间持续运营，关闭后仍通过加密通讯平台流转。

9、Claude在数分钟内发现存在13年的ActiveMQ RCE漏洞

https://www.csoonline.com/article/4157146/claude-uncovers-a-13%E2%80%91year%E2%80%91old-activemq-rce-bug-within-minutes.html

Claude AI 发现潜伏13年的Apache ActiveMQ高危RCE漏洞（CVE-2026-34197），AI仅用10分钟完成人工需一周的分析，利用管理API缺陷实现远程代码执行。该漏洞已修复，凸显AI在漏洞挖掘中的高效能力。

10、微软未经用户同意在Windows强制安装Copilot遭Mozilla抨击

https://cybersecuritynews.com/mozilla-criticizes-microsoft-for-copilot/

Mozilla谴责微软未经用户同意在Windows强制部署Copilot，通过自动安装、硬件预设和误导性UI剥夺用户选择权。微软虽撤回部分集成，但暴露其牺牲用户权益的商业策略。Mozilla强调AI应由用户主导，而非平台强制推行，呼吁行业重视用户同意与隐私保护。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。