1、KelpDAO疑遭Lazarus组织攻击损失2.93亿美元

https://www.bleepingcomputer.com/news/security/kelpdao-suffers-290-million-heist-tied-to-lazarus-hackers/

去中心化金融协议KelpDAO近日遭受约2.93亿美元（约116500枚rsETH）黑客攻击，攻击者利用跨链消息验证层（DVN）的RPC节点漏洞：先对健康RPC节点发动DDoS攻击迫使系统依赖"中毒"节点，再向验证层注入伪造的区块链数据，使虚假的跨链消息被系统确认为有效，从而在未经授权情况下转移rsETH。初步评估攻击指标后认为朝鲜 Lazarus Group（更具体为TraderTraitor小组）嫌疑最大。该攻击同时影响Compound、Euler和Aave，迫使Aave冻结并阻止使用rsETH作为抵押品的新存款和借款。

2、攻击者冒充服务台跨租户窃取数据

https://www.microsoft.com/en-us/security/blog/2026/04/18/crosstenant-helpdesk-impersonation-data-exfiltration-human-operated-intrusion-playbook/

安全研究团队披露，攻击者冒充IT或技术支持人员，通过Microsoft Teams跨租户通信，以社交工程诱骗用户授予远程访问权限。攻击者利用Quick Assist等工具建立立足点，经侦察、载荷部署、注册表配置等步骤，通过WinRM协议横向移动至域控制器等高价值资产，部署远程管理工具，并使用Rclone将业务敏感数据窃取至外部云存储。

3、TikTok视频下载器扩展窃取13万用户数据

https://layerxsecurity.com/blog/stealtok-130k-users-compromised-by-data-stealing-tiktok-video-downloaders/

安全研究人员发现一起大规模浏览器扩展恶意攻击活动。攻击者运营至少12个伪装成TikTok视频下载器的Chrome及Edge扩展程序，利用共享代码库和克隆技术实施持续性攻击。这些扩展程序先以合法功能运营6至12个月积累用户信任，再通过远程配置机制注入恶意代码，从而绕过应用商店审核。目前已造成超13万名用户受害，约1.25万用户仍处于活跃感染状态。多个扩展甚至获得应用商店"精选"徽章，进一步降低用户警惕。相关基础设施采用域名抢注技术伪装合法性。

4、SGLang框架零日漏洞可远程执行代码

https://thehackernews.com/2026/04/sglang-cve-2026-5760-cvss-98-enables.html

开源大模型服务框架SGLang存在严重安全漏洞（CVE-2026-5760，CVSS评分9.8）。该漏洞源于"/v1/rerank"重排序端点使用未加沙箱的jinja2.Environment()渲染聊天模板，攻击者可通过构造含Jinja2服务器端模板注入（SSTI）载荷的恶意GGUF模型文件，在受害者加载模型并触发重排序请求时实现远程代码执行。该漏洞与此前Llama Drama（CVE-2024-34359）及vLLM（CVE-2025-61620）属同类攻击面。目前该漏洞尚未收到官方补丁回复。

5、Anthropic MCP架构漏洞影响数千服务器

https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp/

研究人员披露Anthropic官方MCP SDK存在系统性"设计层面"高危漏洞，波及Python、TypeScript、Java、Rust所有语言实现，影响超过7000个公开可访问的MCP服务器和软件包，下载量超1.5亿次。问题根源在于STDIO传输接口的不安全默认配置：任何能成功创建STDIO服务器的命令都会返回句柄，但给定其他命令时会在返回错误前执行该命令。防护建议：封锁敏感服务公网IP访问、监控MCP工具调用、在沙箱中运行MCP服务、将外部MCP配置输入视为不可信。

6、Windows 截图工具NTLM哈希泄露漏洞PoC利用代码公开

https://www.freebuf.com/articles/system/478035.html

网络安全研究人员已公开针对微软截图工具（Snipping Tool）新漏洞的概念验证（PoC）利用代码，攻击者可通过诱导用户访问恶意网页，悄无声息地窃取其Net-NTLM凭证哈希值。该漏洞编号为CVE-2026-33829，源于Windows截图工具处理ms-screensketch协议架构深度链接URI注册时的缺陷。受影响版本的应用程序会注册该深度链接，该链接接受filePath参数。

7、研究人员利用Claude Opus构建可实际运行的Chrome漏洞利用链

https://cybersecuritynews.com/claude-opus-to-build-a-working-chrome-exploit-chain/

研究人员利用Claude Opus成功构建Chrome漏洞利用链，串联两个漏洞实现远程代码执行，揭示AI辅助攻击的经济可行性和补丁滞后风险，警示网络安全威胁升级。

8、研究发现：重放蓝牙信号可误导苹果AirTag定位系统

https://www.helpnetsecurity.com/2026/04/17/apple-airtag-relay-attack-location/

苹果AirTag存在中继攻击漏洞，攻击者可利用重放蓝牙信号伪造位置，欺骗Find My网络显示虚假位置，甚至跨国实施。该漏洞源于系统无法验证位置真实性，重放信号可维持七天有效。研究揭示了协议设计缺陷，可能影响追踪可靠性。

9、泄露的Windows Defender 0Day漏洞正遭活跃利用

https://cybersecuritynews.com/windows-defender-0-day-vulnerability-exploited/

Windows Defender三个提权漏洞正遭攻击利用，包括已修复的CVE-2026-33825和未修补的RedSun、UnDefend。攻击者使用公开PoC代码，针对企业系统发起针对性攻击，需立即部署补丁并监控可疑活动。

10、白宫拟向联邦机构开放Claude Mythos漏洞挖掘AI访问权限

https://www.csoonline.com/article/4160303/white-house-moves-to-give-federal-agencies-access-to-anthropics-claude-mythos.html

美国政府计划授权联邦机构使用Anthropic公司修改版Claude Mythos模型，以提升网络安全防御能力。该模型能快速识别漏洞，但需严格防护措施确保数据隔离和安全。此举可能绕过五角大楼禁令，为其他政府和企业采用开创先例。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。