每周高级威胁情报解读(2026.05.15~05.21)
VELVET CHOLLIMA 利用交易应用程序作为诱饵进行信息窃取活动;FrostyNeighbor:新鲜的恶作剧和数字恶作剧;Kazuar:国家级僵尸网络的剖析;Lazarus组织追踪系列——解析OtterCookie
奇安信威胁情报中心
疑似Coruna卷土重来:npm包art-template遭供应链攻击沦为iOS漏洞投送工具
攻击者通过伪装成“接手维护”的方式获取开源项目art-template的控制权,随后在其4.13.5和4.13.6版本中植入恶意代码。该恶意代码在被下游应用调用时,会在用户浏览器中注入远程脚本加载器,将iOS Safari用户重定向至包含类似Coruna漏洞利用框架的水坑站点。
GitHub Actions供应链遭精准狙击:攻击者用"移花接木"术掏空CI/CD管道凭据
事件概述近日,安全研究人员StepSecurity披露了一起针对GitHub Actions生态的严重供应链攻
n8n 自动化平台惊现三重漏洞链:低权限即可引爆完整 RCE,攻击面已蔓延至供应链核心节点
安全研究人员 Jubke 披露了 n8n 平台中一组可串联利用的高危漏洞。三个漏洞(CVE-2026-44789、CVE-2026-44790、CVE-2026-44791)分布在 HTTP Request 节点、Git 节点和 XML 节点中,组合后可实现完整的远程代码执行(RCE)。
紧急!微软Exchange Server新高危XSS漏洞(CVE-2026-42897)已被利用执行攻击
微软于近期披露了一个影响广泛的高危零日漏洞CVE-2026-42897,该漏洞已被确认在野外被积极利用。
每周高级威胁情报解读(2026.05.08~05.14)
EasterBunny:归因于APT29的高级间谍工具;Kimsuky组织依托GitHub+Dropbox分发恶意载荷;Lazarus Group 利用 Git 钩子隐藏恶意软件;Paper Werewolf使用新工具包针对俄罗斯工业、金融和运输组织;Gamaredon的感染链:伪造电子邮件、GammaDrop和GammaLoad
18年积弊:NGINX脚本引擎堆缓冲区溢出可致远程代码执行
2026年初,安全研究组织depthfirst通过其自动化代码审计系统对NGINX源代码进行深度扫描,识别出五个安全缺陷,其中四个已获得NGINX官方确认并分配CVE编号。这一发现揭示了NGINX核心组件中存在的严重内存损坏问题,攻击者可利用这些漏洞实现远程代码执行
秘密活动6年的神秘黑客组织Mr_Rot13正在利用cPanel高危漏洞部署后门木马
XLab大网威胁感知系统持续监测到大量黑灰产组织正在积极利用CVE-2026-41940实施网络攻击,相关行为包括挖矿、勒索、僵尸网络扩散、后门植入等多种恶意活动。监测数据显示,当前已有来自全球的 2000 余个攻击源 IP 参与针对该漏洞的自动化攻击与网络犯罪活动
【原创】某加密IM官网供应链事件,“离岸”爱国者卷土重来
奇安信威胁情报中心红雨滴团队私有情报生产流程发现一家面向中文用户提供私密IM的软件官网上的安装包被替换。被替换的安装包除了正常流程外,还会释放如下组件,内存加载SNOWLIGHT下载者,最终运行魔改nps隧道。
Hugging Face惊现供应链投毒:仿冒OpenAI仓库窃取开发者敏感数据
2026年5月7日,安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter,通过 typosquatting 技术冒充 OpenAI 官方 "Privacy Filter" 项目,成功进入平台趋势榜榜首位置
AI软件仿冒攻击再现,DeepSeek TUI成伪装诱饵
奇安信威胁情报中心监测到,攻击者趁着DeepSeek TUI项目热度上升,开始混水摸鱼,在Github上构造仿冒仓库,投递恶意软件。
每周高级威胁情报解读(2026.05.01~05.07)
Silver Fox 利用新的 ABCDoor 后门攻击俄罗斯和印度;ScarCruft 通过供应链攻击破坏游戏平台;OceanLotus 被怀疑使用 PyPI 传播 ZiChatBot 恶意软件;研究发现 MuddyWater 与一起Chaos勒索软件攻击有关
每周高级威胁情报解读(2026.04.24~04.30)
BlueNoroff 利用 ClickFix、无文件 PowerShell 和 AI 生成的虚假 Zoom 会议攻击 Web3 行业;与Lazarus有关联的 npm 恶意软件攻击活动涉及 108 个恶意软件包;Kimsuky组织针对处方药公司进行攻击
供应链攻击永无眠:SAP CAP & Cloud MTA npm 供应链攻击事件报告
这是一起针对 SAP CAP(Cloud Application Programming Model)和 Cloud MTA(Multi-Target Application)生态的精准 npm 供应链攻击。攻击者通过劫持/污染 SAP 官方维护的 npm 包,在安装阶段注入恶意引导程序,最终执行高度混淆凭证窃取与自传播框架。
良性首发-信任积累-更新投毒:GlassWorm 恶意软件通过 73 个 OpenVSX "沉睡者"扩展卷土重来
GlassWorm 威胁活动近期在 OpenVSX 开源扩展生态中爆发新一轮大规模供应链攻击。根据 Socket 安全团队及多方情报交叉验证,攻击者于 2026 年 4 月向 OpenVSX 注册中心提交了 73 个"休眠(Sleeper)"恶意扩展,紧随 3 月份 72 个恶意包的第二波攻势。
Scattered Spider核心成员认罪:深度解析以英语母语为主的网络犯罪组织的战术演进与地缘关联
2024年6月,苏格兰籍威胁行为体Tyler Robert Buchanan在西班牙被捕,后于2024年11月被美方正式起诉。2025年,美国司法部正式宣布该成员对参与Scattered Spider网络犯罪组织的相关指控认罪。
追踪史上首个国家级高精度计算破坏框架——"fast16"深度报告
SentinelLABS披露了可追溯至2005年的国家级网络破坏框架fast16,其设计理念与技术架构远超同时代恶意软件至少五年。该框架专门针对超高精度计算软件实施破坏活动,代表了国家级网络攻击能力的早期实践,比震惊全球的Stuxnet(震网病毒)事件至少早五年出现。
每周高级威胁情报解读(2026.04.17~04.23)
Lazarus 从 Kelp DAO 窃取了 2.9 亿美元;SideWinder 使用伪造的 Chrome PDF 查看器和 Zimbra 克隆程序窃取政府网络邮箱凭证;疑似APT-C-13(Sandworm)组织利用SSH+TOR隧道实现隐蔽持久化的攻击活动分析
又又一起AI相关供应链事件:Xinference PyPI (版本 2.6.0–2.6.2)供应链污染报告
广受欢迎的 Python 软件包 xinference (Xorbits Inference) 在 PyPI 上遭到污染,该包主要用于部署大语言模型 (LLM)、语音识别和多模态 AI 模型。恶意版本 2.6.0、2.6.1 和 2.6.2 。
Mirai变种Nexcorium深度解析:针对视频监控设备的命令注入漏洞利用与僵尸网络演化分析
奇安信威胁情报中心监测发现,Fortinet FortiGuard Labs与Palo Alto Networks Unit 42联合披露了一起活跃的物联网僵尸网络攻击活动。攻击者利用TBK数字视频录像机(DVR)设备中的命令注入漏洞,部署名为Nexcorium的新型Mirai僵尸网络变种。
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)