1、Bluekit钓鱼工具包借AiTM绕过多因素认证

https://www.varonis.com/blog/bluekit

研究人员近日发现一款名为Bluekit的新型AI驱动网络钓鱼工具包，该工具包将传统分散的钓鱼攻击流程整合为一体化平台。Bluekit提供超过40个网站模板，涵盖iCloud、Gmail、GitHub、Twitter等主流服务，并集成自动域名注册、双因素认证绕过、地理位置模拟、反机器人伪装等功能，内置Telegram作为默认数据泄露渠道。其AI助手支持Llama、GPT-4.1、Claude等多种模型，可生成钓鱼活动框架，但目前输出仍依赖大量占位符，尚未达到"一键生成"的自动化水平。研究人员指出，该工具包处于积极开发阶段，更新迭代速度极快，若持续发展并扩大用户群，未来可能对网络安全构成更大威胁。

2、TeamPCP供应链攻击波及SAP相关npm包

https://socket.dev/blog/sap-cap-npm-packages-supply-chain-attack

研究团队披露一起疑似供应链攻击事件，该事件与TeamPCP相关，波及SAP云应用编程模型（CAP）及Cloud MTA生态的4个npm包，分别为mbt@1.2.48、@cap-js/db-service@2.10.1等。受影响版本被注入预安装脚本，会下载并执行未经验证的Bun二进制文件，窃取开发者及CI/CD环境中的各类凭据，还会通过GitHub仓库外泄数据并自我传播。据悉，这些包每周总下载量超57万，潜在影响范围广泛。目前受影响版本已被取消发布。

3、CursorAI隐藏Git钩子漏洞可致代码执行

https://hackread.com/cursor-ai-ide-vulnerability-code-execution-git-hooks/

安全研究人员披露，Cursor AI IDE存在高危漏洞，编号为CVE-2026-26268。根据报道，该问题与隐藏的Git hooks有关，攻击者可通过构造恶意代码仓库，在开发者克隆仓库后触发恶意代码执行。该漏洞的风险在于利用场景贴近日常开发流程，用户在正常获取项目代码时即可能中招，从而使本地开发环境面临被植入恶意程序或执行未授权操作的威胁。该漏洞目前尚未披露更具体的技术细节、受影响版本范围及修复进展。

4、大规模短信诈骗活动在全球多国蔓延

https://www.bitdefender.com/en-us/blog/labs/operation-road-trap

研究人员披露自2025年12月起持续追踪的大规模短信诈骗活动"道路陷阱行动"。该活动已波及美国、加拿大、英国、澳大利亚、印度等12个国家，累计发送超7.9万条欺诈短信，涉及3.19万个不同恶意URL。诈骗分子冒充各国交通管理部门、收费公路运营商及停车服务机构，以未缴通行费、停车罚单或交通罚款为由，通过伪造发件人ID、短代码发送及URL缩短技术诱导受害者点击链接。该恶意软件通过Telegram实时回传设备信息、短信内容及银行验证码，并利用Firebase实现远程命令控制，具备短信拦截、呼叫转移等高级功能。研究人员指出，此类活动虽呈现组织化特征，但尚未归因于特定威胁组织。

5、国际联合执法行动重创加密货币诈骗中心

https://www.govinfosecurity.com/fbi-backed-takedown-hits-crypto-scam-centers-a-31551

近日由迪拜当局牵头、美国FBI及国际合作伙伴支持的联合执法行动，成功捣毁一个跨国加密货币诈骗中心网络，在中东和东南亚地区逮捕至少276人，联邦政府已对该诈骗网络的招聘人员和管理人员提起诉讼。据悉，此次行动是美国协助开展的规模最大的跨国网络诈骗打击行动之一，涉案诈骗中心关联Ko Thet公司等实体，这些诈骗中心自2024年起通过社交工程手段，伪装身份诱骗受害者在虚假平台投资，涉案资金通过加密货币账户快速转移。

6、热门WordPress重定向插件被曝潜伏后门多年

https://anchor.host/wordpress-plugin-hijacked-in-2020-hid-a-dormant-backdoor-for-years/

拥有逾7万安装量的WordPress插件Quick Page/Post Redirect被发现曾在约五年前被植入后门。研究人员Austin Ginder在排查其托管环境中12个触发安全告警的网站时发现，官方5.2.1和5.2.2版本在2020至2021年间包含隐藏的自更新机制，会连接第三方域名anadnet.com，从而绕过WordPress.org分发任意代码。2021年3月，部分站点还从外部服务器静默接收了被篡改的5.2.3版本，植入仅对未登录访客触发的被动后门，疑似用于寄生虫SEO垃圾内容投放。WordPress.org已暂时下架该插件等待审查，目前尚不清楚是作者主动植入还是其发布流程遭第三方入侵。研究人员建议受影响用户卸载该插件，并在恢复上架后改用WordPress.org提供的干净5.2.4版本。

7、PyTorchLightning供应链攻击致凭证窃取

https://thehackernews.com/2026/04/pytorch-lightning-compromised-in-pypi.html

研究人员发现PyTorch Lightning在供应链攻击中受到影响，恶意版本Lightning 2.6.2和2.6.3于4月30日被发布，并植入了隐藏载荷，用于窃取凭证信息。事件曝光后，相关恶意包已被PyPI隔离，并触发了强制修复措施，以降低进一步扩散和滥用风险。报道标题还提及intercom-client同样遭到供应链攻击，但给定内容主要披露的是PyTorch Lightning恶意版本及其行为。此次事件再次表明，开源生态中的软件包一旦发布链路被利用，可能对开发者环境和凭证安全造成直接威胁，用户需尽快核查依赖版本并完成处置。

8、Trellix确认源码库遭未授权访问

https://www.trellix.com/statement/

网络安全公司Trellix确认发生源码相关安全事件，攻击者曾获得对部分代码仓库的未授权访问。通报显示，此次事件涉及源代码层面的暴露风险，但目前尚未发现相关访问被进一步利用的证据，也未确认出现由此直接引发的产品或客户环境受损情况。尽管如此，源码仓库被入侵仍可能带来潜在安全影响，包括敏感实现细节暴露、后续漏洞研究风险上升等，因此该事件引发业界对软件供应链与代码托管安全的关注。现阶段公开信息有限，事件具体范围和成因仍有待进一步披露。

9、恶意Ruby与Go软件包攻击CI流水线窃密

https://socket.dev/blog/malicious-ruby-gems-and-go-modules-steal-secrets-poison-ci

研究人员发现针对Ruby Gems和Go Modules的软件供应链攻击正在利用“休眠”恶意包渗透持续集成（CI）流水线。这些恶意组件在被开发或构建环境引入后，可窃取凭据、篡改CI工作流，并进一步建立持久化访问能力。报道指出，此类攻击不仅影响构建过程本身，还可能导致敏感数据外泄，扩大对代码仓库、自动化系统及相关基础设施的威胁范围。该事件再次凸显了开源依赖管理与CI/CD环境安全防护的重要性，包括审查第三方包来源、限制凭据权限，以及监控异常构建行为等措施。

10、cPanel严重漏洞遭大规模利用投放勒索软件

https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/

研究人员发现编号为CVE-2026-41940的cPanel/WHM高危身份认证绕过漏洞在披露后即被大规模利用，攻击者可借此进入控制面板并入侵网站服务器。cPanel本周已发布紧急更新，但安全机构Shadowserver称，持续攻击中已有至少4.4万个运行cPanel的IP地址受影响。多方消息显示，相关利用最晚可追溯至2月下旬，近期攻击者自上周四起集中利用该漏洞，在Linux服务器上部署基于Go语言编写的“Sorry”勒索软件。该恶意程序会为加密文件追加“.sorry”后缀，并在各目录生成README.md勒索说明，要求受害者通过固定Tox ID联系。研究人员称，其采用ChaCha20加密文件，并使用内嵌RSA-2048公钥保护密钥，若无对应私钥几乎无法解密。官方建议所有cPanel和WHM用户立即安装安全补丁。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。