https://www.security.com/threat-intelligence/harvester-new-linux-backdoor-gogra
研究人员发现疑似国家支持的Harvester APT组织开发了一种新型Linux后门GoGra,利用Microsoft Graph API和Outlook邮箱作为隐蔽C2通道。该组织至少自2021年起活跃,此前主要使用Windows间谍工具,此次扩展至跨平台能力表明其工具集持续进化。数据显示印度和阿富汗为主要目标区域,与Harvester历史上针对南亚的间谍活动一致。安全团队建议相关地区组织加强邮件过滤与终端检测。
https://socket.dev/blog/bitwarden-cli-compromised
开源密码管理器Bitwarden的CLI工具遭到入侵,系Checkmarx持续供应链攻击活动的一部分。攻击者利用Bitwarden CI/CD流水线中被入侵的GitHub Action,在bw1.js文件中植入恶意载荷,通过相同C2端点窃取GitHub令牌、AWS/Azure/GCP云凭证及SSH密钥等敏感信息,并利用Dune主题命名规则创建公共仓库进行数据外泄。安全团队建议受影响用户立即移除恶意包、轮换全部凭证并审查CI日志。
安全公司披露,WordPress Breeze Cache缓存插件存在严重漏洞CVE-2026-3844,已被黑客积极利用。该插件拥有超40万活跃安装,由Cloudways开发。漏洞源于"fetch_gravatar_from_remote"函数缺少文件类型验证,未经身份验证的攻击者可上传任意文件,导致远程代码执行及网站完全接管,CVSS评分高达9.8分。受影响版本为2.4.4及更早版本,Cloudways已在2.4.5版本中修复。尽管新版本下载量约13.8万次,但启用该功能的网站数量未知,漏洞风险仍存。
https://checkmarx.com/blog/checkmarx-security-update-april-22/
Checkmarx KICS基础设施即代码分析工具遭到供应链攻击。攻击者入侵了官方Docker镜像及VS Code、Open VSX扩展,植入名为"mcpAddon.js"的恶意MCP插件组件,窃取GitHub令牌、云凭证、npm令牌、SSH密钥及Claude配置等敏感数据。TeamPCP黑客曾宣称对此负责,但研究人员表示归因证据不足。Checkmarx已发布安全公告,确认恶意程序已删除、泄露凭证已轮换,并在外部专家协助下展开调查。
https://www.securityweek.com/after-bluesky-mastodon-targeted-in-ddos-attack/
继Bluesky之后,去中心化社交媒体平台Mastodon也遭遇大规模分布式拒绝服务攻击。攻击针对Mastodon旗舰服务器Mastodon.social,造成平台分类为"重大中断"的故障。根据Mastodon状态页面,DDoS攻击于4月20日下午1点左右开始,下午4点左右缓解措施部署完成,网站恢复访问。Mastodon和Bluesky在Elon Musk收购X(原Twitter)后人气激增,定位为去中心化的替代平台。
https://hackread.com/clickfix-variant-native-windows-tools-bypass-security/
研究团队发现ClickFix社会工程攻击出现新变种,攻击者突破传统PowerShell和Rundll32依赖,转而滥用cmdkey和regsvr32等Windows原生实用程序实现多阶段隐蔽攻击。该变种通过伪造验证码页面诱骗用户在运行对话框执行恶意命令,利用cmdkey存储远程访问凭据后,通过regsvr32从UNC路径加载并执行远程DLL,实现凭证暂存、载荷检索与静默执行的完整攻击链。专家建议监控出站SMB/UNC访问,限制cmdkey外部使用,并持续对用户进行ClickFix社会工程攻击教育。
https://thehackernews.com/2026/04/lmdeploy-cve-2026-33626-flaw-exploited.html
研究人员发现LMDeploy(开源LLM部署工具包)的高危SSSRF漏洞CVE-2026-33626在公开披露后12小时31分钟内即遭在野利用。漏洞CVSS评分7.5,存在于LMDeploy视觉语言模块的load_image()函数,该函数获取任意URL时未验证内部/私有IP地址,允许攻击者访问云元数据服务、内部网络和敏感资源,可窃取云凭据、端口扫描内网、横向移动。漏洞影响0.12.0及此前所有启用视觉语言支持的版本。
https://thehackernews.com/2026/04/26-fakewallet-apps-found-on-apple-app.html
研究员发现苹果App Store中存在26款名为FakeWallet的恶意应用,冒充Bitpie、Coinbase、imToken、TokenPocket和Trust Wallet等主流加密钱包,自2025年秋季起窃取恢复短语和私钥。应用启动后将用户重定向至仿冒App Store的浏览器页面分发木马化正版钱包。应用图标与原始一致但名称含故意拼写错误(如LeddgerNew),部分应用名称和图标与加密货币无关,作为占位符引导用户通过企业配置文件安装钱包应用。苹果在披露后已下架多数应用,未发现通过Google Play分发。
https://hackread.com/french-police-arrest-hexdex-hacker-data-leak-leaks/
法国警方在旺代地区逮捕20岁男性黑客HexDex,其被控从数十个网站窃取私人信息并在BreachForums和DarkForums上泄露。调查始于2025年12月底,收到近100起数据盗窃报案。HexDex涉嫌攻击约15个法国体育联合会,以及法国教育部、枪支持有者国家数据库SIA、国家警察培训平台e-campus、摩泽尔省警察局、国家领土凝聚力署ANCT、公共服务招聘门户和巴黎爱乐音乐厅等。网络犯罪旅BL2C查扣其计算机设备并控制其DarkForum账号,该账号现已显示被当局查封通知。目前嫌疑人仍被拘留进行设备取证分析。
https://www.securityweek.com/pre-stuxnet-sabotage-malware-fast16-linked-to-us-iran-cyber-tensions/
研究人员发现一款名为Fast16的Lua破坏性恶意软件,其创建时间早于Stuxnet,旨在篡改高精度计算软件结果。该软件曾出现在ShadowBrokers泄露的NSA攻击工具中,并于2005年被用于攻击。安全公司认为Fast16可能由美国开发。Fast16的补丁模式旨在对土木工程及物理过程模拟软件进行战略性破坏,通过在计算中引入微小但系统性的误差,长期降低工程系统性能甚至造成灾难性后果。蠕虫组件可感染同网络其他系统,通过在不同机器验证计算结果来阻止破坏被发现。Fast16弥合了早期不为人知的开发项目与后期基于Lua/LuaJIT的广泛工具包之间的演进鸿沟,证明在2000年代中期国家级网络破坏能力已完全开发部署完毕。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
本课程最终解释权归蚁景网安学院
本页面信息仅供参考,请扫码咨询客服了解本课程最新内容和活动
