1、恶意软件AgingFly攻击乌克兰政府与医院

https://cert.gov.ua/article/6288271

安全研究团队披露新恶意软件家族AgingFly被用于针对地方政府和医院的攻击，目标还可能包括国防力量代表。攻击被归因于威胁集群UAC-0247。攻击始于冒充人道主义援助的钓鱼邮件，诱导目标点击链接跳转至被XSS漏洞入侵的合法网站或AI生成的伪造网站。攻击链使用LNK快捷方式启动HTA处理器，下载并执行shellcode注入合法进程。

2、黑客利用n8n自动化平台传播恶意软件

https://blog.talosintelligence.com/the-n8n-n8mare/

研究人员披露威胁行为体自2025年10月起武器化n8n AI工作流自动化平台，用于传播钓鱼邮件和恶意载荷。n8n允许用户注册免费开发者账号获得托管云服务，创建自定义域名格式的webhook URL。攻击者将这些webhook链接嵌入声称共享文档的邮件中，用户点击后显示CAPTCHA验证码，完成后从外部主机下载恶意载荷。由于整个流程封装在HTML文档的JavaScript中，下载对浏览器而言似乎来自n8n域名。

3、HanGhost针对支付物流链发起无文件攻击

https://hackread.com/active-hanghost-loader-payment-logistic-workflow/

新型HanGhost加载器攻击活动正针对企业财务与物流岗位人员实施打击。该攻击采用多阶段无文件执行链，通过混淆JavaScript触发PowerShell，在内存中直接运行.NET加载器，从伪装成无害图片的加密载荷中提取并执行恶意代码，全程不落盘以规避传统检测。攻击者可借此渗透支付系统拦截交易、篡改合同文档或破坏物流流程。该活动已传播包括PureHVNC、XWorm、Meduza、AgentTesla及Phantom在内的多种远控木马与窃密工具，部分案例更部署UltraVNC实现持久化访问。

4、WordPress多款插件被植入后门

https://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/

WordPress生态系统遭遇重大供应链安全事件，知名插件开发商EssentialPlugin于2025年被恶意买家收购后，其旗下20余款热门插件被系统性植入后门代码。攻击者利用PHP对象注入漏洞，通过控制的服务器下发恶意序列化载荷，可在数千个网站上执行任意文件写入操作，直接获取服务器完全控制权。该后门潜伏长达七个月，于2026年4月初被激活。受影响插件累计活跃安装量超10万次，涵盖WP Logo Showcase、Popup Maker等热门工具。

5、签名软件滥用更新机制禁用杀毒软件

https://www.bleepingcomputer.com/news/security/signed-software-abused-to-deploy-antivirus-killing-scripts/

研究人员发现数字签名的广告软件工具以SYSTEM权限部署载荷，在数千端点上禁用杀毒软件防护，涉及教育、公用事业、政府和医疗行业。单日观察到超过23500台感染主机在124个国家尝试连接运营者基础设施，其中324台位于高价值网络。该软件由Dragon Boss Solutions LLC签名，被多家安全方案标记为PUP的工具。更新机制检索伪装为GIF图片的MSI载荷，当前仅5家安全厂商在VirusTotal上标记为恶意。

6、nginx-ui漏洞遭在野利用可接管服务器

https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html

开源Web端Nginx管理工具nginx-ui中发现关键漏洞CVE-2026-33032（CVSS 9.8），已被在野利用。该漏洞被命名为MCPwn。漏洞源于MCP集成暴露的两个HTTP端点：/mcp需要IP白名单和认证，而/mcp_message仅应用IP白名单且默认白名单为空被视为允许所有。成功利用后攻击者可拦截所有流量并获取管理员凭据。漏洞已在2.3.4版本修复，Shodan显示约2689个实例暴露在互联网上。

7、Splunk Enterprise与云平台漏洞可导致远程代码执行攻击

https://www.freebuf.com/articles/system/477558.html

一项影响 Splunk Enterprise 和云平台多个版本的关键安全漏洞（CVE-2026-20204）已被官方披露。该高危漏洞 CVSS 评分为 7.1，对企业网络构成严重威胁。据 Splunk 研究员 Gabriel Nitu 发现并报告，攻击者可利用此漏洞实施远程代码执行（RCE）攻击。由于 Splunk 通常处理敏感日志数据与安全指标，系统管理员需立即关注该 RCE 漏洞。

8、Codex 利用全局可写驱动接口破解三星电视获取 Root 权限

https://cybersecuritynews.com/codex-hacks-samsung-tv/

OpenAI的Codex AI模型利用三星智能电视全局可写的ntk*驱动接口，成功将浏览器级权限提升至root，暴露了厂商在设备安全设计上的严重缺陷。研究显示AI能自主发现并利用漏洞，无需人工引导，警示厂商需严格审计第三方驱动权限。

9、Qwen将推出网络安全版本，对标GPT-5.4-Cyber

https://www.secrss.com/articles/89457

OpenAI 昨天刚宣布扩展网络安全专属访问计划——最高级别的认证防御者，可以申请使用 GPT-5.4-Cyber，一个专为安全场景微调过的版本。通义千问团队的用户Terry Yue Zhuo 今早在 X 平台转发 OpenAI 公告，表示 “也即将推出。

10、国家信息安全漏洞库通报OpenClaw 63个安全漏洞

https://www.secrss.com/articles/89455

根据国家信息安全漏洞库（CNNVD）统计，自2026年4月3日-2026年4月13日，共采集OpenClaw漏洞63个，其中高危漏洞19个，中危漏洞43个、低危漏洞1个，包含了访问控制错误、代码问题、路径遍历等多个漏洞类型。OpenClaw多个版本受到漏洞影响。目前，OpenClaw官方已经发布了更新修复漏洞，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。