1、APT组织UNC1069发动多起网络攻击

https://falconfeeds.io/blogs/unc1069-dprk-deepfake-cyber-campaign-crypto-supply-chain-attacks/

近日，朝鲜威胁行为体UNC1069发起多起网络攻击，该组织隶属于朝鲜侦察总局，以窃取加密货币牟利（累计超30亿美元）。2026年其先后通过劫持Telegram账户、实时深度伪造视频诱骗受害者，部署七种恶意软件，并入侵Axios npm包发起供应链攻击，威胁范围扩展至开发者生态系统，手法呈现明显升级趋势。

2、Dark Storm威胁中东关键基础设施安全

https://falconfeeds.io/blogs/dark-storm-team-iran-israel-cyber-conflict-middle-east-critical-infrastructure-threat/

亲巴勒斯坦黑客组织"黑暗风暴团队"（Dark Storm Team）正对中东关键基础设施构成重大安全威胁。该组织成立于2023年8月，虽无官方政府背景，但已在60个国家、74个行业领域持续活动20个月，目前尚未被主流商业威胁情报供应商覆盖，存在严重情报盲区。该组织与亲俄黑客行动主义者NNM057(16)及"DDoSia项目"存在活跃联盟关系。通过这一关联，其生态系统已引入工业控制系统（ICS/SCADA）攻击能力。一段转发至该组织频道的视频显示，其联盟成员已获取波兰某工业设施压缩站的实时SCADA控制面板访问权限，可监控温度、风量等关键运行参数并操控系统控制选项。

3、高级后渗透框架攻击EMEA金融组织

https://www.cyfirma.com/research/operation-phantomclr-stealth-execution-via-appdomain-hijacking-and-in-memory-net-abuse/

监测到一款高级多阶段后渗透攻击框架，针对中东及EMEA金融领域组织发起攻击。攻击者滥用英特尔签名合法二进制文件，通过AppDomainManager劫持实现隐蔽执行，结合沙箱规避、JIT跳板等技术绕过传统安全控制。该框架通过Amazon CloudFront CDN建立C2通信，具备模块化架构和反取证能力，攻击技巧媲美成熟攻击工具，暂未明确攻击者身份，对企业敏感数据构成严重威胁。

4、云开发平台Vercel披露数据泄露事件

https://vercel.com/kb/bulletin/vercel-april-2026-security-incident

云开发平台Vercel披露重大安全事件，黑客声称在将售窃取的数据。Vercel是知名的云平台，开发了广泛使用的Next.js框架，并提供无服务器函数、边缘计算和CI/CD管道服务。事件起因是一名Vercel员工的Google Workspace账户被攻破，随后利用Vercel环境变量功能枚举并横向移动。攻击者声称获取了访问密钥、源代码、数据库数据、内部部署权限和API密钥（包括NPM令牌和GitHub令牌），并索要200万美元赎金。

5、黑客利用Marimo零日漏洞部署NKAbuse

https://www.bleepingcomputer.com/news/security/hackers-exploit-marimo-flaw-to-deploy-nkabuse-malware-from-hugging-face/

研究人员披露Marimo（Python响应式笔记本）严重远程代码执行漏洞CVE-2026-39987在野利用持续升级。漏洞披露不足10小时即出现首次利用，攻击手法快速演进：从最初的凭证窃取，到通过Hugging Face平台托管恶意dropper脚本和木马程序（NKAbuse新变种），再到从德国发起的15种不同反向Shell技术多端口尝试、香港攻击者扫描Redis全部16个数据库并外传会话令牌，以及PostgreSQL数据库凭证提取。NKAbuse新变种为远控木马，可执行Shell命令并回传结果，使用NKN去中心化P2P网络协议进行隐蔽通信。建议立即升级至0.23.0或更高版本，或在防火墙封锁/terminal/ws端点。

6、黑客利用Apple账户更改通知发起钓鱼攻击

https://www.bleepingcomputer.com/news/security/apple-account-change-alerts-abused-to-send-phishing-emails/

Apple官方账户更改通知系统正被攻击者滥用，向用户发送虚假的iPhone购买钓鱼邮件，这些邮件实际通过Apple自有服务器发送，可通过SPF、DKIM和DMARC认证检查。攻击者在Apple ID账户的姓名字段中插入钓鱼内容，再修改配送信息触发安全通知，邮件便会包含钓鱼内容。钓鱼者声称用户在4月14日通过PayPal购买了一部899美元的iPhone，并附上电话号码要求用户联系取消。接到此类邮件的用户应保持警惕，切勿拨打陌生电话号码或点击其中链接，即使邮件声称来自Apple或任何其他官方机构。

7、OpenAI 更新 Agents SDK 新增沙箱环境保障代码安全执行

https://www.helpnetsecurity.com/2026/04/16/openai-agents-sdk-harness-and-sandbox-update/

OpenAI升级Agents SDK，提供标准化框架和沙箱环境，支持文件操作、代码执行等任务，内置安全措施和状态恢复机制，简化开发流程，提升Agent可靠性和扩展性，适用于法律等复杂场景。

8、Splunk Enterprise 与云平台漏洞可导致远程代码执行攻击

https://cybersecuritynews.com/splunk-enterprise-and-cloud-platform-vulnerability/

Splunk Enterprise和云平台曝高危漏洞（CVE-2026-20204），CVSS 7.1分，可远程代码执行。影响10.2.1/10.0.5/9.4.10/9.3.11以下版本，需立即升级或禁用Web组件。攻击者利用临时文件管理缺陷，低权限即可操控系统。

9、SpankRAT利用合法Windows资源管理器进程实现隐蔽攻击与延迟检测

https://cybersecuritynews.com/spankrat-exploits-windows-process/

新型SpankRAT木马利用Rust编写，通过注入explorer.exe进程规避检测，支持18种远程控制指令，VirusTotal检出率极低。建议部署行为检测规则，关注DLL注入、高权限计划任务及WebSocket连接，防范隐蔽攻击。

10、ActiveMQ漏洞遭活跃利用，被紧急列入CISA高危漏洞目录

https://thehackernews.com/2026/04/apache-activemq-cve-2026-34197-added-to.html

Apache ActiveMQ Classic高危漏洞CVE-2026-34197正被活跃利用，CVSS 8.8分，可远程执行代码。影响5.19.4前及6.0.0-6.2.3前版本，企业需立即升级至5.19.4或6.2.3修复。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。