APT情报 - 我当黑客那几年(AiRedTeam) (Page 2)

2025金融威胁深度剖析：钓鱼转向电商与数字服务，窃密软件成核心驱动

卡巴斯基2025金融威胁报告：信息窃取者驱动的凭证窃取与暗网交易激增，钓鱼转向Netflix、Apple、Spotify等数字服务。深度分析攻击趋势、地区分布与企业防护策略。

Citrix NetScaler再曝内存超读漏洞CVE-2026-3055：已遭在野利用

🔓 Critical 漏洞利用 watchTowr Labs分析发现，Citrix NetScaler的CVE-2026-3055并非单一漏洞，而是至少包含两个内存超读漏洞，影响/saml/login和/wsfed/passive?wctx端点。攻击者可通过发送特制HTTP请求触发内存泄漏，获取敏感数据，且该漏洞已从2025年3月27日起在野外被利用。来源：watchTowr Labs | 0 | 原文链接 🔍 关键发现 * CVE-2026-3055实际包含至少两个内存超读漏洞，影响/saml/login和/wsfed/passive?wctx端点 * 漏洞利用不需要wctx参数值，仅需参数存在且缺少等号即可触发内存泄漏 * 在野利用已于2025年3月27日被蜜罐网络检测到，来自已知威胁行为者IP ⚔️ 攻击链分析 1. 攻击者向目标Citrix NetScaler发送GET请求到/wsfed/passive?wctx，其中wctx参数无值且无等号 2. 未修补设备错误地检查参数存在性而非数据存在性，访问死内存 3. 服务器在响应中通过NSC_TASS C

APT情报

SmarterMail预授权RCE漏洞CVE-2025-52691：10分漏洞的静默修复与利用分析

🔓 Critical 漏洞利用攻击者利用SmarterTools SmarterMail文件上传接口（/api/upload）中缺乏认证与GUID校验的缺陷，通过构造恶意multipart/form-data请求中的contextData参数，实现预授权远程代码执行（RCE）。该漏洞被CVSS评为10分，且存在长达3个月的静默修复期，增加了被利用的风险。来源：watchTowr Labs | 0 | 原文链接 🔍 关键发现 * 发现1：SmarterMail的/api/upload端点允许未认证访问，且未对上传文件进行GUID有效性验证。 * 发现2：攻击者可通过控制contextData参数中的guid属性，结合ProcessCompletedUpload方法中的switch-case逻辑，触发任意文件写入或执行。 * 发现3：漏洞在Build 9413中被静默修复，但官方直到2025年12月底才发布安全公告，期间用户未获知风险。 ⚔️ 攻击链分析攻击者构造包含恶意JSON的multipart/form-data请求→发送至未认证的/api/uploa

APT情报

App Store惊现FakeWallet：二十余款钓鱼应用窃取加密货币

🕵️ High 间谍软件卡巴斯基在2026年3月发现Apple App Store中超过20款伪装成热门加密货币钱包的钓鱼应用，利用iOS配置文件和代码注入技术劫持恢复短语和私钥。该活动自2025年秋季以来一直未被发现，专门针对中国区用户，通过typosquatting和虚假宣传诱导下载。来源：Kaspersky Securelist | 2026-04-20 | 原文链接 🔍 关键发现 * 发现26款App Store中的钓鱼应用，模仿MetaMask、Ledger、Trust Wallet等主流钱包 * 攻击者利用iOS企业配置文件和库注入技术，在设备上安装木马化版本的钱包应用 * 恶意模块通过RSA加密和Base64编码将窃取的助记词发送到C2服务器 * 部分应用包含伪功能（游戏、计算器等）作为占位符，实际功能在后续更新中激活 ⚔️ 攻击链分析 1. 用户在App Store下载伪装成合法钱包的钓鱼应用；2. 应用启动后打开恶意链接，利用配置文件和库注入安装木马化钱包；3. 木马化钱包中的恶意模块劫持恢复短语输入界面；4. 窃取的数据经RSA加密后

APT情报

TeamPCP供应链攻击重启：26天沉寂后三路并发，Checkmarx、Bitwarden、xinference沦陷

⛓️ Critical 供应链攻击安全分析师发现，沉寂26天的TeamPCP供应链攻击活动在2026年4月21-22日集中爆发，同时针对Docker Hub、npm和PyPI三个生态发起攻击。攻击者通过窃取合法凭证，先后攻陷Checkmarx KICS Docker镜像、xinference PyPI包，并利用Bitwarden的Dependabot自动化流水线级联感染@bitwarden/cli npm包，同时自传播型npm蠕虫CanisterSprawl也开始活跃。来源：SANS ISC | 2026-04-27 | 原文链接 🔍 关键发现 * TeamPCP在26天暂停后恢复技术渗透阶段，4月21-22日同时发起三路供应链攻击，覆盖npm、PyPI和Docker Hub。 * Checkmarx KICS Docker仓库被入侵，恶意镜像覆盖5个现有标签并创建2个新标签，窃取基础设施即代码扫描输出（含凭证、令牌和内部拓扑）。 * Bitwarden的Dependabot自动化CI/CD流水线在危险窗口内拉取了被污染的checkmarx/kics:latest

APT情报

Citrix NetScaler再曝内存越界漏洞：SAML IdP配置下的致命伤

🔓 Critical 漏洞利用 Citrix NetScaler ADC/Gateway存在CVE-2026-3055内存越界读取漏洞，攻击者可在设备配置为SAML身份提供者(IdP)时，通过特制SAML请求触发内存泄露，可能导致敏感数据暴露及会话劫持。该漏洞与历史著名的CitrixBleed系列高度相似，凸显Citrix在内存管理上的持续脆弱性。来源：watchTowr Labs | 0 | 原文链接 🔍 关键发现 * CVE-2026-3055影响未修补的NetScaler ADC/Gateway版本（14.1-26.x之前），CVSS 9.3分，属于严重漏洞 * 漏洞仅在设备配置为SAML IdP时被利用，攻击面相对狭窄但高风险，因为IdP存储大量认证凭据 * watchTowr在复现过程中还发现了与CVE-2026-3055类似前提的额外内存越界漏洞，已报告给Citrix PSIRT ⚔️ 攻击链分析 1. 攻击者识别目标NetScaler设备配置为SAML IdP；2. 向SAML相关端点（如/metadata/samlidp/）发送特制请求；3.

APT情报

Axios供应链攻击深度分析：朝鲜黑客植入跨平台RAT，波及全球多行业

🎯 Critical APT组织 Palo Alto Unit42披露了一起严重的供应链攻击，攻击者劫持了流行JavaScript库Axios维护者的npm账号，发布了两个恶意版本（v1.14.1和v0.30.4）。这些版本通过植入隐藏依赖plain-crypto-js，在安装时触发后门脚本，针对Windows、macOS和Linux系统部署远程访问木马（RAT），并与朝鲜黑客组织（WAVESHAPER）存在关联。来源：Palo Alto Unit42 | 2026-04-01 | 原文链接 🔍 关键发现 * 攻击者通过劫持Axios维护者的npm账户，发布了两个恶意版本，但未修改Axios源代码，而是通过注入plain-crypto-js依赖实现攻击。 * 恶意依赖利用npm的postinstall生命周期钩子执行高度混淆的Node.js dropper，该dropper采用双层编码（字符串反转、Base64和XOR加密）隐藏操作。 * dropper根据操作系统下载不同平台的RAT载荷：macOS使用C++编译的Mach-O二进制，Windows使用Power

APT情报

Wi-Fi加密形同虚设：AirSnitch攻击如何突破企业无线安全防线

🔓 Critical 漏洞利用 Palo Alto Networks Unit42团队在NDSS 2026上披露了名为AirSnitch的新型攻击技术集合，该技术利用Wi-Fi协议与基础设施交互中的设计缺陷，能够绕过WPA2/WPA3-Enterprise加密和客户端隔离，实现中间人攻击。攻击者可通过多种信道（包括空中、同一AP、不同AP、内网甚至互联网）注入或窃听流量，严重威胁企业数据机密性。来源：Palo Alto Unit42 | 2026-04-22 | 原文链接 🔍 关键发现 * AirSnitch攻击利用Wi-Fi基础设施（如MAC地址表、端口映射）而非仅针对客户端，打破了传统无线安全假设。 * 攻击者可通过滥用共享GTK（组临时密钥）将单播流量封装在广播/组播帧中，绕过企业AP的客户端隔离。 * 部分攻击技术（如Port Stealing）源于Wi-Fi协议根本性设计错误，难以通过补丁修复；其他技术（如Gateway Bouncing）依赖特定网络配置，导致厂商统一修复不现实。 ⚔️ 攻击链分析 1. 攻击者通过空中、同一AP、不同AP、

APT情报

AWS AgentCore沙箱逃逸：DNS隧道突破网络隔离，默认元数据服务缺乏令牌验证

🔓 Critical 漏洞利用 Palo Alto Unit42研究人员发现AWS AgentCore的Code Interpreter沙箱模式存在网络隔离绕过漏洞，攻击者可通过DNS隧道实现数据外泄。此外，AgentCore Runtime的微VM元数据服务（MMDS）缺乏会话令牌强制，允许SSRF攻击直接窃取敏感凭证，威胁整个AWS环境。来源：Palo Alto Unit42 | 2026-04-07 | 原文链接 🔍 关键发现 * AgentCore沙箱模式并未真正实现“无外部网络访问”，存在DNS隧道外泄通道 * 微VM元数据服务（MMDS）默认接受HTTP GET请求，不要求会话令牌，类似IMDSv1风险 * AgentCore Runtime环境中的SSRF漏洞可被利用直接提取凭证，导致环境横向移动和数据窃取 ⚔️ 攻击链分析 1. 攻击者利用Code Interpreter沙箱内代码执行能力，通过DNS隧道建立隐蔽双向通信通道；2. 利用MMDS缺乏令牌验证，通过SSRF攻击提取元数据中的敏感凭证；3. 利用获取的凭证横向移动至其他AgentC

APT情报

AI自主攻击云环境：多智能体系统Zealot实战验证与安全启示

🔍 Critical 其他 Palo Alto Unit42构建了一个名为Zealot的多智能体渗透测试概念验证系统，用于实证评估AI在云环境中的自主攻击能力。该系统利用大语言模型（LLM）作为协调者，指挥三个专业子智能体（基础设施、应用安全、云安全），在沙盒GCP环境中成功实现了从SSRF漏洞利用、元数据服务凭证窃取、服务账号模拟到BigQuery数据窃取的完整攻击链。研究表明，AI虽未创造新的攻击面，但作为“能力倍增器”能显著加速对已知云配置错误的利用，对防御者构成真实且紧迫的威胁。来源：Palo Alto Unit42 | 2026-04-23 | 原文链接 🔍 关键发现 * AI自主攻击能力已从理论风险演进为现实威胁，Anthropic报告证实国家背景的间谍活动中80-90%操作由AI自主完成。 * 多智能体系统（Zealot）能够自主链式利用云环境中的常见配置错误，包括SSRF、元数据服务、IAM权限提升等，实现端到端攻击。 * 云环境因API驱动、丰富的发现机制、复杂配置和基于凭证的访问等特性，天然适合AI自动化攻击。 ⚔️ 攻击链分析 1. 基

APT情报

多智体协作成新靶场：深度解析Amazon Bedrock多智能体应用提示注入攻击链

🔍 High 其他安全研究人员以红队视角分析了Amazon Bedrock Agents的多智能体协作功能，发现攻击者可通过精心构造的提示注入载荷，在Supervisor模式下逐步探测应用运行模式、发现协作智能体、传递恶意载荷并最终执行未授权操作。研究表明，即便Amazon Bedrock服务本身无漏洞，所有依赖大语言模型处理不可信文本的智能体系统均面临提示注入风险。来源：Palo Alto Unit42 | 2026-04-03 | 原文链接 🔍 关键发现 * 多智能体架构通过智能体间通信和编排机制扩大了攻击面，攻击者可在Supervisor模式下利用提示注入实现逐级渗透。 * 攻击者可通过观察系统响应判断应用运行在Supervisor模式还是Supervisor with Routing模式，从而选择不同的载荷投递策略。 * 启用Amazon Bedrock内置的Prompt Attack Guardrail可有效阻断所有已演示的提示注入攻击，但默认未启用时系统存在严重风险。 ⚔️ 攻击链分析 1. 探测运行模式：构造特定检测载荷，通过分析系统响应判断

APT情报

TP-Link报废路由器漏洞CVE-2023-33538遭Mirai僵尸网络批量扫描利用

🔓 High 漏洞利用 Palo Alto Unit42监测到攻击者针对TP-Link多款已停产路由器（TL-WR940N、TL-WR740N、TL-WR841N）的CVE-2023-33538命令注入漏洞发起大规模自动化扫描和利用。攻击载荷为Mirai变种僵尸网络木马，试图通过默认凭据（admin:admin）认证后下载并执行恶意ELF文件，但实际利用代码存在缺陷，漏洞本身真实有效。来源：Palo Alto Unit42 | 2026-04-16 | 原文链接 🔍 关键发现 * CVE-2023-33538是TP-Link多款EoL路由器中的命令注入漏洞，影响TL-WR940N v2/v4、TL-WR740N v1/v2、TL-WR841N v8/v10型号 * 攻击者利用默认凭据（admin:admin）通过Basic认证，向/userRpm/WlanNetworkRpm.htm端点发送特制GET请求，在ssid参数中注入命令，下载并执行Mirai变种木马 * 实际观察到的利用代码存在缺陷（命令执行失败），但漏洞本身真实；成功利用需要先通过Web界面认证，而默

APT情报

伊朗网络威胁升级：47天断网后恢复，关键基础设施与金融欺诈成攻击焦点

🎯 Critical APT组织 2026年2月底美以联合军事行动后，伊朗发动多向量报复性网络攻击，并在47天断网后于4月17日有限恢复互联网接入。Unit 42发现伊朗威胁组织CL-STA-1128（又称Cyber Av3ngers）转向攻击罗克韦尔自动化OT/ICS设备，同时大规模冲突主题钓鱼、金融欺诈和加密货币骗局针对中东地区企业及消费者。来源：Palo Alto Unit42 | 2026-04-17 | 原文链接 🔍 关键发现 * 伊朗威胁组织CL-STA-1128（Cyber Av3ngers）从Unitronics PLC转向攻击罗克韦尔自动化OT/ICS设备，使用FactoryTalk软件进行利用。 * 自4月1日起，全球5600个IP地址暴露罗克韦尔/艾伦-布拉德利SCADA设备；伊朗IP空间每日服务量从2.5万激增至约30万。 * 攻击者注册数千个冲突主题域名，针对阿联酋、沙特阿拉伯等地区实施企业凭证窃取、账单欺诈和加密货币骗局。 ⚔️ 攻击链分析 1. 注册冲突主题域名并搭建仿冒企业门户/支付系统；2. 通过AI增强的鱼叉式钓鱼邮件或短

APT情报

TeamPCP供应链攻击：安全工具沦为数据窃取跳板，50万台机器沦陷

⛓️ Critical 供应链攻击威胁组织TeamPCP在2026年2月至3月期间，对Trivy、KICS、LiteLLM等广泛使用的开源安全工具发起多阶段供应链攻击，通过篡改GitHub Actions和PyPI注册表植入恶意载荷，窃取云访问令牌、SSH密钥和Kubernetes密钥等敏感数据。该攻击已导致超50万台机器、300GB数据被窃取，并利用窃取的凭证进一步感染48个额外软件包，至少16家组织被公开勒索。来源：Palo Alto Unit42 | 2026-03-31 | 原文链接 🔍 关键发现 * TeamPCP利用不完全的凭证轮换，通过伪造提交攻击（imposter commit）入侵Aqua Security Trivy的GitHub仓库，强制推送恶意代码至76个版本标签。 * 攻击载荷演化为三个版本：初始版直接读取进程内存窃取令牌，第二版采用模块化加载器，最终版CanisterWorm具备自复制和擦除功能，可扫描暴露的Docker API和SSH密钥。 * 攻击者利用窃取的npm发布令牌，在60秒内感染了@emilgroup、@opengov和@

APT情报

32年老漏洞重现：GNU inetutils Telnetd预认证远程代码执行漏洞（CVE-2026-32746）

🔓 Critical 漏洞利用攻击者可通过发送特制的LINEMODE SLC（Set Linemode Characters）协商数据包，在无需认证的情况下触发GNU inetutils Telnetd中的BSS缓冲区溢出漏洞，破坏相邻变量并实现远程代码执行。该漏洞自1994年引入，影响Ubuntu、Debian、FreeBSD、NetBSD、Citrix NetScaler、Apple Mac Tahoe、Haiku、TrueNAS Core、uCLinux、libmtev、DragonFlyBSD等多个主流系统和设备。来源：watchTowr Labs | 0 | 原文链接 🔍 关键发现 * 漏洞位于GNU inetutils Telnetd的LINEMODE SLC（Set Linemode Characters）协商处理函数中，是一个BSS缓冲区溢出漏洞，可覆盖约400字节的相邻变量。 * 该漏洞无需认证即可触发（Pre-Auth），攻击者通过发送IAC SB LINEMODE LM_

APT情报

cPanel & WHM认证绕过零日漏洞(CVE-2026-41940)：互联网管理面板的“多米诺骨牌”倒塌

🔓 Critical 漏洞利用安全研究人员发现cPanel & WHM所有受支持版本中存在一个严重的认证绕过漏洞（CVE-2026-41940），该漏洞源于会话加载与保存过程中的输入验证不完善，允许攻击者通过精心构造的会话数据绕过认证，获得服务器root级管理权限。已知Host已确认该漏洞在野外被积极利用，作为零日漏洞攻击互联网上大量共享托管基础设施。来源：watchTowr Labs | 0 | 原文链接 🔍 关键发现 * 漏洞影响cPanel & WHM所有受支持版本（110.0.x至136.0.x），覆盖超过7000万个域名。 * 漏洞根源是saveSession函数中filter_sessiondata调用时机不当，导致CRLF注入和目录遍历等攻击向量可被利用。 * 补丁将filter_sessiondata调用移至saveSession内部，并引入了新的十六进制回传编码逻辑，以防御会话数据篡改。 * 会话文件结构分析显示，攻击者可通过伪造pass字段中的换行符注入恶意会话属性，从而提升权限或绕过认证。 ⚔️ 攻击链分析 1. 攻击者向cPane

APT情报

Progress ShareFile存储控制器曝高危漏洞链：未授权RCE风险

🔓 Critical 漏洞利用研究者发现Progress ShareFile Storage Zone Controller 5.x版本中存在认证绕过（CVE-2026-2699）与远程代码执行（CVE-2026-2701）漏洞组合，攻击者可利用/ConfigService/Admin.aspx等端点绕过访问限制，进而执行任意代码。该漏洞链影响约3万个自托管实例，威胁文件传输安全。来源：watchTowr Labs | 0 | 原文链接 🔍 关键发现 * CVE-2026-2699：/ConfigService/Admin.aspx端点存在认证绕过，可被远程利用获取管理访问权限 * CVE-2026-2701：结合认证绕过后，可在未授权状态下实现远程代码执行 * 漏洞影响ShareFile Storage Zone Controller 5.12.3及更早版本，5.12.4已修复 ⚔️ 攻击链分析 1. 攻击者远程访问/ConfigService/Admin.aspx端点，

APT情报

SOAPwn：.NET框架HTTP客户端代理与WSDL中的致命缺陷

🔓 Critical 漏洞利用攻击者利用.NET框架中`HttpWebClientProtocol`类的类型转换缺失漏洞，通过控制SOAP客户端代理的URL参数，可触发任意文件读取或远程代码执行。该漏洞影响多个企业级应用，包括Barracuda Service Center RMM（CVE-2025-34392）和Ivanti Endpoint Manager（CVE-2025-13659），且已发现预认证利用链。来源：watchTowr Labs | 0 | 原文链接 🔍 关键发现 * .NET框架的`WebRequest.Create`方法未对返回的请求对象进行类型检查，允许通过`file://`等非HTTP协议加载本地文件。 * `SoapHttpClientProtocol`等代理类继承自`HttpWebClientProtocol`，其`GetWebRequest`方法未将结果强制转换为`HttpWebRequest`，导致可被利用。 * 攻击者可通过操纵WSDL或SOAP请求中的URL，触发文件读取或命令执行，影响Barracuda、Ivanti、U

APT情报

ITSM巨头沦陷：BMC FootPrints曝出未授权RCE漏洞链

🔓 Critical 漏洞利用安全研究人员在BMC FootPrints（ITSM解决方案）中发现四个高危漏洞，包括认证绕过、两个SSRF及反序列化RCE，攻击者可无需认证实现远程代码执行。该漏洞链影响20.20.02至20.24.01.001版本，由于ITSM系统常存储敏感IT资产与配置信息，极易被勒索软件组织利用。来源：watchTowr Labs | 0 | 原文链接 🔍 关键发现 * CVE-2025-71257：认证绕过漏洞，允许未授权用户绕过isAuthenticated()过滤器。 * CVE-2025-71258/71259：两个服务端请求伪造漏洞，可被用于内网探测或绕过访问控制。 * CVE-2025-71260：反序列化漏洞，结合Aspectjweaver gadget可实现远程代码执行。 * 漏洞链覆盖BMC FootPrints 20.20.02至20.24.01.001版本，BMC已于2025年9月发布热修复。 ⚔️ 攻击链分析 1. 利用CVE-2025-71257认证绕过漏洞，未授权访问受限端点； 2. 通过SSRF漏洞（

APT情报

PhantomRPC：Windows RPC架构中的新型本地提权漏洞分析

🔓 High 漏洞利用攻击者利用Windows RPC架构中的设计缺陷，通过一个拥有SeImpersonatePrivilege权限的进程（如Local Service或Network Service）发起恶意RPC请求，可以绕过现有安全机制，将权限提升至SYSTEM级别。该漏洞影响所有Windows版本，且微软尚未发布补丁。来源：Kaspersky Securelist | 2026-04-24 | 原文链接 🔍 关键发现 * 发现一种全新的基于RPC架构的本地提权技术（PhantomRPC），与经典的“Potato”系列提权方法在原理上截然不同。 * 该漏洞源于Windows RPC的架构性弱点，而非单个服务的逻辑错误，导致潜在的攻击路径数量几乎无限。 * 攻击者可以利用Group Policy服务（gpsvc）与TermService（终端服务）之间的RPC交互作为其中一个提权路径，通过强制触发策略更新实现权限提升。 ⚔️ 攻击链分析 1. 攻击者获得一个具有SeImpersonatePrivilege权限的进程上下文（如Network Servic

APT情报

npm生态末日降临：Shai-Hulud蠕虫开启供应链攻击新纪元

⛓️ Critical 供应链攻击 2025年9月Shai-Hulud蠕虫事件后，npm供应链攻击进入高威胁阶段。2026年4月，攻击者利用仿冒Bitwarden CLI和SAP CAP模型的恶意包，通过预安装钩子执行多阶段载荷，窃取云凭证、CI/CD令牌并自我复制传播，标志着攻击从孤立事件转向系统化武器化。来源：Palo Alto Unit42 | 2026-04-24 | 原文链接 🔍 关键发现 * Shai-Hulud蠕虫实现了自我复制式传播，通过窃取npm和GitHub令牌自动感染并重新发布合法包 * 2026年4月出现两个新攻击波：仿冒@bitwarden/cli的'第三次降临'和针对SAP生态的'小Shai-Hulud'，后者影响约57万周下载量 * 攻击链使用Bun运行时执行混淆载荷，通过GitHub公共提交API作为隐蔽C2通道，并具备俄罗斯语言环境终止开关 ⚔️ 攻击链分析 1. 攻击者发布仿冒包（如@bitwarden/cli或@cap-js/sqlite），修改package.json添加预安装钩子 2. 用户执行npm install时

APT情报

npm生态危机：Shai-Hulud蠕虫开启供应链攻击新纪元

⛓️ Critical 供应链攻击 Palo Alto Unit42报告显示，自2025年9月Shai-Hulud蠕虫事件后，npm供应链攻击进入高威胁阶段。攻击者通过窃取npm令牌和GitHub PAT实现蠕虫式传播，并针对SAP开发者生态系统发起Mini Shai-Hulud攻击，利用多阶段载荷窃取云凭证、CI/CD密钥和开发者工作站敏感信息。来源：Palo Alto Unit42 | 2026-04-24 | 原文链接 🔍 关键发现 * Shai-Hulud蠕虫标志着npm攻击从‘滋扰’时代进入高后果威胁格局，攻击频率和技术深度急剧加速 * 2026年4月出现两波攻击：@bitwarden/cli伪装包和针对SAP CAP模型的Mini Shai-Hulud，后者影响约57万周下载量 * 攻击者使用Bun JavaScript运行时执行混淆载荷，通过GitHub公共提交搜索API作为隐蔽C2通道实现自我传播 ⚔️ 攻击链分析 1. 攻击者发布伪装成合法包的恶意npm包（如@bitwarden/cli或@cap-js/sqlite），通过preinstal

APT情报

Silver Fox 组织利用新型 ABCDoor 后门攻击俄罗斯与印度税务机构

🎯 High APT组织 Silver Fox 威胁组织在2025年底至2026年初发起两波钓鱼邮件攻击，分别针对印度和俄罗斯的税务机构。攻击者使用修改版 RustSL 加载器部署 ValleyRAT 后门，并发现其利用新插件分发此前未公开的 Python 后门 ABCDoor。该活动已影响工业、咨询、零售和运输等多个行业，记录恶意邮件超过1600封。来源：Ars Technica Security | 2026-04-30 | 原文链接 🔍 关键发现 * Silver Fox 组织使用伪装成税务通知的钓鱼邮件，诱导用户下载含恶意载荷的压缩包。 * 攻击者采用基于 Rust 的开源加载器 RustSL 的定制版本，新增 steganography.rs 模块实现自定义 XOR 解密与载荷提取。 * 发现此前未记录的 Python 后门 ABCDoor，作为 ValleyRAT 的插件分发，自2024年底即已存在并持续活跃。 * 定制版

APT情报

K8s安全警报：云身份窃取成APT新宠，282%攻击增长背后的暗流

🎯 Critical APT组织 Palo Alto Unit42报告显示，Kubernetes相关威胁活动一年内激增282%，攻击者利用服务账户令牌窃取和公开应用漏洞（如CVE-2025-55182）实现容器逃逸与横向移动。以朝鲜APT组织Slow Pisces（Lazarus）为例，通过社工获取云凭证后，在K8s集群中部署恶意Pod窃取令牌，最终攻破加密货币交易所后端系统，盗取数百万美元。来源：Palo Alto Unit42 | 2026-04-06 | 原文链接 🔍 关键发现 * Kubernetes相关威胁活动一年内增长282%，IT行业占被攻击目标的78%以上。 * 22%的云环境中观察到服务账户令牌窃取相关可疑活动，成为横向移动关键跳板。 * CVE-2025-55182（React2Shell）在公开后两天内即被用于攻击云服务，实现容器内命令执行。 ⚔️ 攻击链分析 1. 通过鱼叉式钓鱼或利用公开应用漏洞（如CVE-2025-55182）获得初始访问权限 → 2. 在容器内枚举环境并窃取挂载的服务账户令牌 → 3. 利用令牌测试K8s API