BlueNoroff 利用 ClickFix、无文件 PowerShell 和 AI 生成的虚假 Zoom 会议攻击 Web3 行业
披露时间:2026年4月27日
情报来源:https://arcticwolf.com/resources/blog/bluenoroff-uses-clickfix-fileless-powershell-and-ai-generated-zoom-meetings-to-target-web3-sector/
相关信息:
BlueNoroff组织针对Web3/加密货币行业发起定向攻击,通过伪造Calendly会议邀请和拼写错误的Zoom链接诱导受害者进入虚假会议页面,窃取其摄像头视频作为后续诱饵,并利用ClickFix技术诱骗用户复制执行恶意PowerShell命令,进而部署内存后门窃取Telegram会话、浏览器凭证和加密货币钱包密钥,同时通过AI生成虚假头像和深度伪造视频增强欺骗性,最终实现长期持久化控制和资产窃取。
与Lazarus有关联的 npm 恶意软件攻击活动涉及 108 个恶意软件包
披露时间:2026年4月24日
情报来源:https://panther.com/blog/inside-dprk%E2%80%99s-npm-malware-factory-108-packages-261-versions-and-a-31-day-campaign-wave
相关信息:
Panther威胁研究团队在约30天内监控、聚类并追踪了一场朝鲜(DPRK)关联的npm恶意软件活动,该活动共涉及108个恶意包和261个版本,构成一个高度工业化的恶意软件工厂。攻击者利用BeaverTail恶意软件,通过"Contagious Interview"(传染性面试)模式,以虚假招聘面试为诱饵,诱导开发者下载并执行恶意代码。这一活动属于朝鲜更广泛供应链攻击的一部分,与Lazarus集团相关,其恶意包伪装成合法开发工具,在开发者调用看似正常的功能时触发恶意载荷,窃取浏览器数据、密码管理器信息及加密货币钱包凭证。该活动横跨npm、PyPI、Go、Rust等多个开源生态,自2025年初以来已识别超过1,700个恶意包。
披露时间:2026年4月27日
情报来源:https://wezard4u.tistory.com/429764
相关信息:
Kimsuky组织利用伪装成Excel文档的LNK文件(文件名伪装为制药公司ERP规格书)实施攻击,该LNK文件内嵌诱饵XLSX文档、计划任务XML以及经XOR编码的PowerShell和JavaScript脚本;执行后释放文件至C:\sysconfigs目录并创建伪装成Avast浏览器更新的计划任务实现持久化,最终PowerShell脚本使用RC4加密通过Dropbox API上传受害主机信息并下载执行远程BAT命令。
ShadowBrokers泄露中的神秘引用揭示Stuxnet五年前的高精度软件破坏框架"fast16"
披露时间:2026年4月23日
情报来源:https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/
相关信息:
SentinelLABS发现了一个可追溯至2005年的网络破坏框架fast16,其核心组件包括嵌入Lua 5.0虚拟机的载体svcmgmt.exe和内核驱动fast16.sys,后者通过在内核层拦截并修改可执行代码,专门针对高精度计算软件(如LS-DYNA、PKPM等工程仿真软件)实施浮点运算篡改,导致计算结果出现系统性偏差;该框架具备蠕虫式自我传播能力,并在ShadowBrokers泄露的NSA文件中被标记为“Nothing to see here – carry on”。
蔓灵花组织使用NUITKA打包的python样本进行投递
披露时间:2026年4月29日
情报来源:https://mp.weixin.qq.com/s/gbir8fE-pjchPbwY4y-NRA
相关信息:
蔓灵花(APT-C-08)组织近期利用NUITKA打包的Python样本作为初始载荷,通过下载执行后门组件获取CMD命令控制权限,进而部署文件窃密组件(监控存储设备变更并同步文件至C2)、Remcos远控后门及Python环境,实现对政府、国防等目标的定向入侵和数据窃取。
Lazarus 利用人工智能将对开发者的攻击产业化
披露时间:2026年4月22日
情报来源:https://expel.com/blog/inside-lazarus-how-north-korea-uses-ai-to-industrialize-attacks-on-developers/
相关信息:
Expel发现并持续追踪一个被评估为高置信度朝鲜国家支持的APT子群HexagonalRodent(别名Famous Chollima子集),该组织利用生成式AI大规模构建虚假招聘公司和钓鱼网站,通过VS Code tasks.json和代码后门植入BeaverTail、OtterCookie和InvisibleFerret恶意软件,专门针对Web3开发者实施加密货币钱包窃取,三个月内窃取约1200万美元数字资产,并首次被观察到通过fast-draft VS Code扩展实施供应链攻击。
GlassWorm 恶意软件通过 73 个 OpenVSX "沉睡者"扩展卷土重来
披露时间:2026年4月28日
情报来源:https://mp.weixin.qq.com/s/zXeY_HXWNDydGbryxWkvVA
相关信息:
GlassWorm在OpenVSX扩展市场发起大规模供应链攻击,通过73个休眠扩展(至少6个已激活)采用“良性首发-信任积累-更新投毒”策略,利用瘦加载器从GitHub拉取恶意载荷或执行原生.node模块,动态窃取开发者的加密货币钱包、云凭证和SSH私钥,标志着其战术从硬编码恶意代码演进为生命周期管理式攻击。
PhantomRPC:Windows RPC 中的一种新的权限提升技术
披露时间:2026年4月24日
情报来源:https://securelist.com/phantomrpc-rpc-vulnerability/119428/
相关信息:
Securelist发现Windows RPC架构中存在一个设计缺陷,允许具有SeImpersonatePrivilege权限的进程通过部署伪造的RPC服务器(模仿如TermService等默认禁用或不可用服务的接口和端点),诱使高权限客户端发起高模拟级别的RPC调用,从而模拟客户端身份将权限提升至SYSTEM或管理员级别;微软评估该漏洞为中等严重性且未分配CVE,决定不立即修补,组织可通过ETW监控RPC异常并启用对应服务来缓解风险。
UNC6692 利用社会工程学部署定制恶意软件套件
披露时间:2026年4月24日
情报来源:https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware/
相关信息:
UNC6692组织通过冒充IT服务台在Microsoft Teams发送钓鱼链接,诱导受害者下载AutoHotKey脚本安装SNOWBELT浏览器扩展,进而部署SNOWGLAZE隧道和SNOWBASIN后门,执行内网扫描、凭据窃取(LSASS转储)、传递哈希横向移动至域控制器,最终使用FTK Imager提取NTDS.dit并外传,同时利用钓鱼页面骗取用户凭证。
UAT-4356 针对 Cisco Firepower 设备的目标
披露时间:2026年4月23日
情报来源:https://blog.talosintelligence.com/uat-4356-firestarter/
相关信息:
UAT-4356利用CVE-2025-20333和CVE-2025-20362漏洞针对Cisco Firepower设备的FXOS系统,植入FIRESTARTER后门;该后门通过修改CSP_MOUNT_LIST实现瞬态持久化(仅限软重启),注入LINA进程并替换WebVPN XML处理函数,解析特定前缀后执行任意shellcode,其技术能力与Rayliniator的第三阶段载荷高度重叠。
供应链攻击永无眠:SAP CAP & Cloud MTA npm 供应链攻击事件报告
披露时间:2026年4月29日
情报来源:https://mp.weixin.qq.com/s/gaeeRzgxg-E_9G6_vtfO_g
相关信息:
攻击者通过污染SAP CAP生态中的四个npm官方包(如@cap-js/sqlite等),在安装时利用preinstall钩子从GitHub下载Bun运行时执行高度混淆的execution.js,该载荷会窃取GitHub、npm、AWS、Azure、Kubernetes等凭证并通过GitHub提交伪装外传,同时修改包文件实现自传播,影响开发者本地环境和CI/CD流水线,此次攻击与Shai-Hulud活动手法一致。
披露时间:2026年4月28日
情报来源:https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/
相关信息:
Check Point Research对2025年12月出现的RaaS(勒索软件即服务)项目VECT 2.0进行深度技术分析,发现其存在一个致命的加密实现缺陷,使其从设计上的勒索软件意外成为数据擦除器。该软件基于libsodium库使用ChaCha20-IETF流密码(而非其广告宣称的ChaCha20-Poly1305 AEAD),针对Windows、Linux和ESXi三个平台采用统一的代码库。当处理大于131,072字节(128KB)的文件时,VECT将文件分为四个区块进行加密,每个区块生成一个独立的12字节随机nonce,但所有nonce被写入同一个共享缓冲区,导致前三个nonce在循环中被覆盖,最终仅第四个nonce被保存到文件末尾。由于ChaCha20-IETF解密需要精确的nonce匹配,这意味着任何大于128KB的文件中,前三个四分之一的区块数据永久不可恢复,包括VM磁盘、数据库、文档和备份等企业关键资产。该缺陷存在于所有公开可用的VECT版本中,且早于2.0版本就已存在。
M3rx勒索软件:揭秘新型泄露网站攻击者和Go加密器
披露时间:2026年4月27日
情报来源:https://www.derp.ca/research/m3rx-ransomware-go-encryptor/
相关信息:
M3rx是一个新兴的勒索软件团伙,拥有泄密网站和Tox联系方式,其Windows加密器使用Go编写,通过X25519密钥交换和AES-CTR加密文件内容,每文件AES密钥经AES-GCM包装后存入0x400字节的尾注中,默认仅加密文件1%的内容(可配置),加密后文件重命名为随机16字符并添加.8hmlsewu扩展名,释放RECOVERY_NOTES.TXT赎金票据,清空回收站并在执行后通过PowerShell自删除。
TryNodeUpdate 将 GitHub 和 BSC 转换为 TCP 控制通道
披露时间:2026年4月24日
情报来源:https://www.derp.ca/research/trynodeupdate-github-node-bsc-contract-c2/
相关信息:
TryNodeUpdate是一个Windows恶意软件链,通过PowerShell从GitHub获取Node.js控制器,控制器调用BNB智能合约解析出TCP后端地址,连接后下载本地辅助程序rpc.exe;该辅助程序同样通过合约获取后端,建立原始TCP控制通道(JSON格式新行分隔),支持心跳、文件上传和执行完整JS载荷。
Morpheus:一款与IPS Intelligence有关的新型间谍软件
披露时间:2026年4月23日
情报来源:https://osservatorionessuno.org/blog/2026/04/morpheus-a-new-spyware-linked-to-ips-intelligence/
相关信息:
Morpheus是一款可能由意大利开发的Android间谍软件,通过伪装成Fastweb ISP的钓鱼短信诱导安装,利用无障碍服务和ADB自动授权、禁用摄像头/麦克风指示灯、绕过生物识别添加WhatsApp配对设备,并具备录屏、录音及执行系统命令等能力;其部分基础设施关联IPS Intelligence及Rever Servicenet、Iris Telecomunicazioni等公司。
GNU nano 软件中存在CVE-2026-40556漏洞
披露时间:2026年4月28日
情报来源:https://cert.pl/en/posts/2026/04/CVE-2026-40556/
相关信息:
GNU nano在创建用户~/.local目录时使用了过于宽松的权限(0777),当系统umask较为宽松(如容器环境或umask设置为0)时会导致该目录成为全局可写,本地攻击者可利用竞争窗口在更严格的子目录创建前写入恶意文件;该漏洞影响2.9.1至9.0以下版本,已在nano 9.0中修复。
APT28 零日漏洞补丁不完整导致 CVE-2026-32202 的出现
披露时间:2026年4月23日
情报来源:https://www.akamai.com/blog/security-research/2026/apr/incomplete-patch-apt28s-zero-day-cve-2026-32202
相关信息:
APT28利用恶意LNK文件中的Control Panel组件路径触发远程DLL加载,绕过SmartScreen实现远程代码执行;微软在修复该漏洞(CVE-2026-21510)时虽增加了信任验证,但仍留下零点击认证强制漏洞(CVE-2026-32202):当资源管理器渲染恶意LNK文件时,会因图标提取而自动解析UNC路径并建立SMB连接,导致受害者NTLM哈希发送至攻击者服务器。
