秘密活动6年的神秘黑客组织Mr_Rot13正在利用cPanel高危漏洞部署后门木马
XLab大网威胁感知系统持续监测到大量黑灰产组织正在积极利用CVE-2026-41940实施网络攻击,相关行为包括挖矿、勒索、僵尸网络扩散、后门植入等多种恶意活动。监测数据显示,当前已有来自全球的 2000 余个攻击源 IP 参与针对该漏洞的自动化攻击与网络犯罪活动
奇安信威胁情报中心
【原创】某加密IM官网供应链事件,“离岸”爱国者卷土重来
奇安信威胁情报中心红雨滴团队私有情报生产流程发现一家面向中文用户提供私密IM的软件官网上的安装包被替换。被替换的安装包除了正常流程外,还会释放如下组件,内存加载SNOWLIGHT下载者,最终运行魔改nps隧道。
Hugging Face惊现供应链投毒:仿冒OpenAI仓库窃取开发者敏感数据
2026年5月7日,安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter,通过 typosquatting 技术冒充 OpenAI 官方 "Privacy Filter" 项目,成功进入平台趋势榜榜首位置
AI软件仿冒攻击再现,DeepSeek TUI成伪装诱饵
奇安信威胁情报中心监测到,攻击者趁着DeepSeek TUI项目热度上升,开始混水摸鱼,在Github上构造仿冒仓库,投递恶意软件。
每周高级威胁情报解读(2026.05.01~05.07)
Silver Fox 利用新的 ABCDoor 后门攻击俄罗斯和印度;ScarCruft 通过供应链攻击破坏游戏平台;OceanLotus 被怀疑使用 PyPI 传播 ZiChatBot 恶意软件;研究发现 MuddyWater 与一起Chaos勒索软件攻击有关
每周高级威胁情报解读(2026.04.24~04.30)
BlueNoroff 利用 ClickFix、无文件 PowerShell 和 AI 生成的虚假 Zoom 会议攻击 Web3 行业;与Lazarus有关联的 npm 恶意软件攻击活动涉及 108 个恶意软件包;Kimsuky组织针对处方药公司进行攻击
供应链攻击永无眠:SAP CAP & Cloud MTA npm 供应链攻击事件报告
这是一起针对 SAP CAP(Cloud Application Programming Model)和 Cloud MTA(Multi-Target Application)生态的精准 npm 供应链攻击。攻击者通过劫持/污染 SAP 官方维护的 npm 包,在安装阶段注入恶意引导程序,最终执行高度混淆凭证窃取与自传播框架。
良性首发-信任积累-更新投毒:GlassWorm 恶意软件通过 73 个 OpenVSX "沉睡者"扩展卷土重来
GlassWorm 威胁活动近期在 OpenVSX 开源扩展生态中爆发新一轮大规模供应链攻击。根据 Socket 安全团队及多方情报交叉验证,攻击者于 2026 年 4 月向 OpenVSX 注册中心提交了 73 个"休眠(Sleeper)"恶意扩展,紧随 3 月份 72 个恶意包的第二波攻势。
Scattered Spider核心成员认罪:深度解析以英语母语为主的网络犯罪组织的战术演进与地缘关联
2024年6月,苏格兰籍威胁行为体Tyler Robert Buchanan在西班牙被捕,后于2024年11月被美方正式起诉。2025年,美国司法部正式宣布该成员对参与Scattered Spider网络犯罪组织的相关指控认罪。
追踪史上首个国家级高精度计算破坏框架——"fast16"深度报告
SentinelLABS披露了可追溯至2005年的国家级网络破坏框架fast16,其设计理念与技术架构远超同时代恶意软件至少五年。该框架专门针对超高精度计算软件实施破坏活动,代表了国家级网络攻击能力的早期实践,比震惊全球的Stuxnet(震网病毒)事件至少早五年出现。
每周高级威胁情报解读(2026.04.17~04.23)
Lazarus 从 Kelp DAO 窃取了 2.9 亿美元;SideWinder 使用伪造的 Chrome PDF 查看器和 Zimbra 克隆程序窃取政府网络邮箱凭证;疑似APT-C-13(Sandworm)组织利用SSH+TOR隧道实现隐蔽持久化的攻击活动分析
又又一起AI相关供应链事件:Xinference PyPI (版本 2.6.0–2.6.2)供应链污染报告
广受欢迎的 Python 软件包 xinference (Xorbits Inference) 在 PyPI 上遭到污染,该包主要用于部署大语言模型 (LLM)、语音识别和多模态 AI 模型。恶意版本 2.6.0、2.6.1 和 2.6.2 。
Mirai变种Nexcorium深度解析:针对视频监控设备的命令注入漏洞利用与僵尸网络演化分析
奇安信威胁情报中心监测发现,Fortinet FortiGuard Labs与Palo Alto Networks Unit 42联合披露了一起活跃的物联网僵尸网络攻击活动。攻击者利用TBK数字视频录像机(DVR)设备中的命令注入漏洞,部署名为Nexcorium的新型Mirai僵尸网络变种。
Vercel供应链攻击事件深度分析:第三方AI工具成为企业安全突破口
Vercel内部系统遭未授权访问事件的根源是第三方AI工具Context.ai的一名员工于2026年2月感染Lumma信息窃取器,被窃取了包括Google Workspace在内的多项服务凭据,其中部分凭据关联Vercel管理权限,随后ShinyHunters组织在BreachForums上声称出售相关数据。
微软Defender零日漏洞深度分析:从BlueHammer到RedSun,安全工具的攻防博弈
近日微软在Patch Tuesday例行更新中修复了Microsoft Defender反恶意软件平台中的一个高危零日漏洞BlueHammer,该漏洞技术细节在微软官方修复发布前即被公开披露,攻击者可能已掌握漏洞利用代码,随后安全研究员公开了针对同一安全平台的另一未修补漏洞RedSun
MCP协议架构级漏洞深度分析:STDIO设计缺陷引发大规模AI供应链安全危机
奇安信威胁情报中心监测发现,Ox Security于4月披露了Anthropic公司MCP协议中存在的架构级设计缺陷。该漏洞根植于MCP协议的STDIO传输机制,利用此缺陷可实现未授权命令注入与远程代码执行,超过20万台服务器受影响,相关SDK累计下载量突破1.5亿次
每周高级威胁情报解读(2026.04.10~04.16)
APT37 通过 Facebook 发起的有针对性入侵活动;APT35组织在“史诗之怒”冲突前对目标进行系统性网络侦察;Storm-2755 针对加拿大雇员进行“Payroll pirate”攻击;在 npm 上追踪 OtterCookie 信息窃取活动;研究人员成功获取Kimsuky三阶段完整攻击载荷源码
CVE-2026-33032 深度分析:nginx-ui MCP端点认证绕过导致 Nginx 服务器完全接管
nginx-ui 项目(一个开源的基于 Web 的 Nginx 管理界面)被披露存在严重安全漏洞 CVE-2026-33032(CVSS 9.8),该漏洞已被野外积极利用。Pluto Security 安全研究人员将此漏洞命名为 MCPwn。
每周高级威胁情报解读(2026.04.03 ~04.09)
CyberAv3ngers 利用美国关键基础设施中的可编程逻辑控制器进行攻击;APT28 入侵的基础设施用于监视其他目标;Kimsuky 组织已改变了恶意 LNK 文件的分发方式;SideWinders 针对南亚国防的 PaaS 跳槽攻击
暗网情报技术能力框架及参考指标体系
随着暗网威胁持续迭代演化,本框架旨在为行业提供统一、科学、实战化的能力标尺,推动国内暗网情报能力向体系化、专业化、实战化方向高质量发展。
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)