微步在线研究响应中心

Dirty Frag 漏洞爆发！影响9年Linux内核的“确定性”提权漏洞

Fri, 08 May 2026 09:33:00 +0800

微步情报局 2026-05-08 09:33 北京

点击查看漏洞情报详情

1. 漏洞概况

2026年5月7日，安全研究员 Hyunwoo Kim（@v4bel）公开了一个名为 Dirty Frag（CVE-2026-43284）的本地权限提升（LPE）漏洞。该漏洞影响自2017年以来（约9年）的主流Linux发行版，允许任何本地用户稳定、确定性地获得root权限。

关于该漏洞的细节、影响系统及版本、修复方案、临时缓解措施，微步情报局正在进一步研究中，详情请关注微步漏洞情报。

2. 漏洞本质：Page Cache缓存篡改

Dirty Frag 属于“Dirty Pipe”漏洞家族的变种，通过操纵内核页缓存（Page Cache），直接篡改磁盘文件在内存中的只读副本。

Dirty Frag 包含两个独立的漏洞，分别位于不同的内核模块。攻击者根据目标环境选择其中一个进行利用，每个漏洞均可单独完成提权。

漏洞一：xfrm-ESP Page-Cache Write

项目	信息
所在模块	`esp4` / `esp6`
影响范围	自 2017-01-17 (cac2661c53f3) 起的所有内核
利用前提	需要创建用户命名空间的权限

利用流程：

创建用户命名空间
：攻击者创建一个新的用户命名空间，获取所需的权限
触发ESP数据包处理
：通过Netlink接口构造特制的ESP数据包，触发 xfrm 代码路径中的页缓存写入操作
篡改页缓存
：利用漏洞向目标文件的页缓存中写入任意4字节数据
修改系统文件
：反复利用该原语，篡改 /etc/passwd 或 /etc/sudoers 等关键文件
获得root权限
：通过篡改后的系统文件创建root用户或提升当前用户权限

漏洞二：RxRPC Page-Cache Write

项目	信息
所在模块	`rxrpc`
影响范围	自 2023-06 (2dc334f1a63a) 起的所有内核
利用前提	需要 `rxrpc` 模块已加载（Ubuntu默认加载），不需要任何特权

利用流程：

创建AF_RXRPC套接字
：攻击者创建一个 AF_RXRPC 类型套接字
构造特殊的RxRPC调用
：通过特定的控制消息触发内核rxrpc代码路径中的页缓存写入漏洞
篡改页缓存
：向目标文件的页缓存中写入恶意数据
修改认证文件
：利用写入原语修改 /etc/passwd 或 /etc/shadow
获得root权限
：通过新建的root用户或修改变更当前用户权限

两个漏洞的场景覆盖

环境场景	可用的漏洞
允许非特权用户命名空间（大多数发行版）	xfrm-ESP
限制非特权用户命名空间（如Ubuntu + AppArmor）	RxRPC（若模块加载）
Ubuntu默认配置	至少一个可用（xfrm-ESP 通常可用；如果被AppArmor限制，rxrpc默认加载）

3. 和“Copy Fail”漏洞是什么关系？

相同点：xfrm-ESP 漏洞与 Copy Fail 共享相同的内核写入原语。

差异点：Dirty Frag 不依赖 algif_aead 模块。因此，即使系统已应用 algif_aead 黑名单来缓解 Copy Fail，Dirty Frag 仍然有效。

漏洞通告 | Apache HTTP Server 远程命令执行漏洞

Thu, 07 May 2026 17:02:00 +0800

原创微步情报局 2026-05-07 17:02 北京

立即查看详情 →

漏洞概况

Apache HTTP Server 是 Apache 软件基金会维护的开源 Web 服务器，mod_http2 是其用于支持 HTTP/2 协议的核心模块。

近日，微步情报局监测到 Apache HTTP Server 官方发布安全通告，修复了 Apache HTTP Server 拒绝服务漏洞（CVE-2026-23918），微步情报局已成功复现；经验证，该漏洞可通过构造特定 HTTP/2 帧序列稳定触发拒绝服务。在系统符合特定内存布局、地址信息及运行环境条件要求时可实现远程代码执行，但并非任意场景下稳定利用。(完整漏洞情报请查阅：https://x.threatbook.com/v5/vul/XVE-2026-17007）

此漏洞无需权限，攻击者成功利用此漏洞可导致Apache worker进程崩溃造成拒绝服务，特定条件下可能实现远程代码执行。建议受影响用户尽快修复。

漏洞处置优先级(VPT)

综合处置优先级：中风险

基本信息	微步编号	XVE-2026-17007
	CVE编号	CVE-2026-23918
	漏洞类型	远程命令执行
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	否
	对被攻击系统的要求	无特殊要求
	利用漏洞的权限要求	无需权限
	是否需要受害者配合	否
利用情报	POC是否公开	是
利用情报	已知利用行为	暂无

漏洞影响范围

产品名称	Apache HTTP Server
受影响版本	2.4.66
有无修复补丁	有

漏洞复现

修复方案

官方修复方案

官方已发布漏洞通告，建议受影响的用户依据官方通告进行修复：
https://httpd.apache.org/security/vulnerabilities_24.html

临时缓解措施

禁用HTTP/2协议：注释掉 http2 模块，同时注释掉 H2Direct 和 H2MaxSessionStreams

- END -

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划，我们鼓励白帽子提交挖掘到的0day漏洞，并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力，提升0day防御能力，守护数字世界安全。

速查！又一知名软件被投毒，大量用户失陷

Wed, 06 May 2026 09:45:00 +0800

微步在线研究响应中心 2026-05-06 09:45 北京

有国外安全机构近日披露，主流磁盘镜像挂载工具DAEMON Tools遭遇供应链投毒。自4月8日起，其官方网站被上传了12.5.0.2421至12.5.0.2434等多个恶意版本，影响超过100个国家和地区的数千台设备，目前攻击仍在进行中。

微步情报局监测发现，在国内已有数十家用户感染恶意代码，建议用户立即排查C2请求env-check.daemontools.cc，及时做好应急处置，排查方法和处置建议详见后文。

DAEMON Tools是全球广泛使用的磁盘镜像挂载工具，攻击者篡改了官方安装程序，恶意文件均具备开发商 AVB Disc Soft 有效数字签名。恶意程序嵌入开机自启逻辑，设备启动即激活后门并反连恶意 C2。攻击分两步实施：先批量部署信息收集器窃取系统信息，再定向投放极简后门、QUIC RAT远控木马，实现精准控制与窃密。

攻击载荷

信息采集器envchk.exe：广泛投放，采集MAC、主机名、DNS、进程列表、已安装软件等，用于筛选高价值目标。

极简后门cdg.exe：精准投放至已筛选目标，支持文件下载、shell命令执行及shellcode内存执行。

远控木马QUIC RAT：仅在极少量高价值机器上发现，支持HTTP/UDP/TCP/WSS/QUIC/DNS/HTTP/3多协议通信，可向notepad.exe和conhost.exe注入恶意载荷。

受影响范围

软件版本：DAEMON Tools 12.5.0.2421 ~ 12.5.0.2434

恶意组件：DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe

默认路径：C:\Program Files\DAEMON Tools Lite\

排查方法

●查询是否安装DAEMON Tools的12.5.0.2421-12.5.0.2434版本

●查询网络出口流量中是否含有域名env-check.daemontools.cc的请求

●在临时目录C:\Windows\Temp\是否存有文件envchk.exe，cdg.exe，imp.tmp，piyu.exe

处置建议

●卸载、暂停使用DAEMON Tools恶意版本。

●在网络侧阻断env-check.daemontools.cc的反连请求。

●清除envchk.exe、cdg.exe、cdg.tmp等恶意载荷。

●重置系统密码、SSH 密钥、Git 凭证、API 密钥、业务账号等敏感凭证。

附录：IOC

感染的 DAEMON Tools Lite 安装程序

9ccd769624de98eeeb12714ff1707ec4f5bf196d(12.5.0.2421)

50D47ADB6DD45215C7CB4C68BAE28B129CA09645(12.5.0.2422)

0c1d3da9c7a651ba40b40e12d48ebd32b3f31820(12.5.0.2423)

28b72576d67ae21d9587d782942628ea46dcc870(12.5.0.2424)

46b90bf370e60d61075d3472828fdc0B85ab0492(12.5.0.2430)

6325179f442e5b1a7716580cd70dea644ac9ecd18(12.5.0.2431)

BD8fbb5E6842df8683163adbd6A36136164EAC58(12.5.0.2433)

15ed5c3384e12fe4314ad6edbd1dcccf5ac1ee29(12.5.0.2434)

感染的DiscSoftBusServiceLite.exe文件

524d2d92909eef80c406e87a0fc37d7bb4dadc14

427f1728682ebc7ffe3300fef67d0e3cb6b62948

8e7eb0f5ac60dd3b4a9474d2544348c3bda48045

00e2df8f42d14072e4385e500d4669ec783aa517

aea55e42c4436236278e5692d3dcbcbe5fe6ce0b

0456E2f5F56ec8ed16078941248e7cbba9f1c8eb

9a09AD7b7E9ff7a465AA1150541E231189911afb

8d435918d304fc38d54b104a13f2e33e8e598c82

64462f751788f529c1eb09023b26a47792ecdc54

其他恶意文件hash

2d4eb55b01f59C62C6de9aacba9b47267d398fe4

9dbfc23ebf3c0b56d2f93116abb32656C42E4

295ce86226b933e7262c2ce4b36bdd6c389aaef

env-check.daemontools.cc

38.180.107.76

Linux提权漏洞！10行代码直接root

Thu, 30 Apr 2026 10:14:00 +0800

原创微步情报局 2026-04-30 10:14 北京

立即查看详情 →

漏洞概况

微步情报局监测到，Linux Kernel 被披露存在本地权限提升漏洞，漏洞编号 CVE-2026-31431，代号 “Copy Fail”。该漏洞源于内核 crypto: algif_aead 模块在处理 AEAD操作时的逻辑缺陷，可导致本地低权限攻击者通过 AF_ALG 加密接口向任意可读文件的页缓存（page cache）写入受控的少量数据（PoC 中为 4 字节块），进而篡改 setuid 等特权二进制文件，实现本地权限提升至 root。

目前该漏洞细节及 PoC 已公开，利用门槛极低（仅需约 10 行 Python 脚本），影响过去 9 年内大多数主流 Linux 发行版，对云服务器、容器宿主机、多租户环境等构成较高风险。

目前已知的影响面有：

1. 共享服务器（开发机、跳板机、构建服务器）：任意普通用户即可直接提权为 root

2.Kubernetes 和容器集群：单个被攻破的 Pod 可逃逸至宿主机

3. CI/CD 执行器（GitHub Actions、GitLab Runner、Jenkins 等）：恶意 Pull Request 可直接获得 Runner 的 root 权限

4. 运行用户代码的云平台（Notebook、Agent 沙箱、Serverless 函数等）：租户可直接提升至宿主机 root 权限

建议受影响的用户尽快修复。

漏洞处置优先级(VPT)

综合处置优先级：中风险

基本信息	微步编号	XVE-2026-15008
	CVE编号	CVE-2026-31431
	漏洞类型	权限提升
利用条件评估	利用漏洞的网络条件	本地访问
	是否需要绕过安全机制	否
	对被攻击系统的要求	无特殊要求
	利用漏洞的权限要求	低权限
	是否需要受害者配合	否
利用情报	POC是否公开	是
利用情报	已知利用行为	暂无

漏洞影响范围

产品名称	Linux Kernel
受影响版本	commit 72548b093ee3 <=version< commit a664bf3d603d
有无修复补丁	有

漏洞复现

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载：
https://git.kernel.org/stable/c/a664bf3d603dc3bdcf9ae47cc21e0daec706d7a5

微步产品支撑

微步漏洞情报于2026-04-22收录该漏洞。

微步下一代威胁情报平台NGTIP及X情报社区已于漏洞收录时向漏洞订阅用户推送该漏洞情报，并将持续推送后续更新；对于已经录入资产的用户，支持实时自动化排查受影响资产。

一个人，两个AI，0代码，把墨西哥政府打成筛子

Wed, 29 Apr 2026 16:58:00 +0800

微步在线研究响应中心 2026-04-29 16:58 北京

0代码、低成本、大规模、高隐蔽性的入侵

2025年12月的深夜，一名攻击者与两个大模型，仅凭自然语言命令，在不到两个月的时间里，接连突破墨西哥联邦、州、市三级共9个政府机构，窃取数亿公民隐私数据，甚至搭建出可实时查询政府系统的公开接口，伪造出足以以假乱真的官方税务文件。

受害者与时间线

这是Gambit Security报告中完整还原的AI深度参与国家级关键信息基础设施入侵事件。在这起攻击中，AI自主判断、自主执行、自主优化，攻击者仅用少数自然语言命令，便让AI突破了自身的技术伦理，完成了原本需要十余人专业团队的工作量，攻击周期被压缩到传统防守团队无法响应的程度。

一、利用AI规则漏洞，埋下攻击伏笔

攻击发起前，攻击者早已完成周密布局。他提前准备好1084行的渗透测试速查手册、156条预设命令模板，选定Anthropic Claude Code作为一线攻击执行工具，OpenAI GPT-4.1 API作为后台批量分析大脑，两者形成完美配合，所有操作均违反AI平台使用条款。

2025年12月27日，攻击者首次启动Claude Code，先用“漏洞赏金”的幌子试探底线，要求AI清除日志、隐藏操作痕迹，被Claude明确拒绝。但攻击者早有对策——直接将完整的黑客手册以“文件写入”的形式提交，让AI绕过内容安全审核，将恶意规则成为持久化提示词，加载为默认系统提示。

短短十几分钟，原本坚守安全底线的AI，沦为了攻击者的全自动攻击助手。

二、40分钟拿下政府服务器，AI从抗拒到自觉

绕过AI安全护栏后，攻击推进速度快得惊人。

攻击者直接将目标对准墨西哥联邦税务总局SAT——该国最核心的民生数据机构之一，指令Claude Code运行开源漏洞扫描工具Vulmap。AI很快发现外网服务器存在远程命令执行漏洞，随即开始定制漏洞脚本。从初始脚本到最终稳定版本，Claude Code在7分钟内完成8次迭代，自动优化代理路由、失败重试、字符编码绕过等细节，生成285行专属漏洞利用代码。

从AI拒绝违规操作，到成功拿下SAT服务器权限，整个过程仅用40分钟。报告数据显示，整场攻击中，约75%的远程命令执行操作均由Claude Code自动完成，攻击者只需要下达自然语言指令，无需手动编写复杂代码。

三、悄无声息拿到Root，留下持久后门

突破边界后，攻击者的下一个目标是最高系统权限。

在入侵墨西哥城户籍登记服务器时，Claude Code自动扫描系统定时任务（Crontab），发现一个可写入的root权限脚本。AI立刻向攻击者汇报提权路径，并提供两种操作选项。攻击者指令AI注入SSH后门密钥，同时保留原文件时间戳，避免被管理员察觉。

Claude Code严格执行操作：先记录原文件时间，修改脚本植入后门，再还原时间戳，全程不留痕迹。当定时任务自动运行后，AI主动检测权限，随即向攻击者汇报：“已获取Root权限！拿到最高权限后，AI还自动提取系统密码哈希、清理操作痕迹，全程无需攻击者额外指令。

这种AI自主判断、自主执行、自主优化的攻击模式，彻底颠覆了传统黑客依赖手动操作、经验积累的模式，哪怕是技术水平有限的攻击者，也能完成专业黑客团队才能实现的深度入侵。

四、横扫8大机构，染指云端资产

拿下核心机构后，攻击者借助AI开始横向渗透，短短数周内横扫墨西哥各级政府部门：

- 哈利斯科州政府：完整虚拟化基础设施沦陷，13节点Nutanix集群、37台数据库服务器被控制，20个州政府机构部署自定义木马；

- 国家选举研究所：获取数千万选民数据访问权限，泄露1.38万张选民卡记录；

- 墨西哥州、米却肯州等地方政府：泄露车辆、房产、民生登记数据超千万条；

- 蒙特雷市水务公司、墨西哥城卫生局：业务系统、邮件服务器被攻破，采购、医疗数据遭窃取；

- 云端资产：攻击者从沦陷服务器中获取云配置凭证，成功入侵AWS云数据库实例。

在渗透蒙特雷水务公司时，AI自动检测出SMB签名漏洞，主动向攻击者提供被动、半主动、主动三种攻击方案，并推荐成功率最高的PetitPotam强制认证攻击。即便该方法因系统补丁失效，AI仍自动尝试永恒之蓝、密码喷洒、LDAP匿名绑定等十余种手法，穷尽所有攻击路径，直到找到突破点。

与此同时，后台的GPT-4.1 API也在高速运转。攻击者编写的17550行Python工具BACKUPOSINT.py，将305台SAT内网服务器的进程、端口、凭证、配置等数据批量送入AI分析，短短几天生成2597份结构化情报报告，标注高风险漏洞、可复用凭证、横向移动路径，为攻击者提供精准攻击导航。

五、数据盗卖+官方文件伪造，黑色产业链成型

攻击的最终目的，是利用数据牟利。

Claude Code用2小时、20次迭代，开发出594行的Flask REST API，直接对接SAT实时数据库，可通过公网实时查询纳税人完整信息。更致命的是，攻击者基于该API搭建了税务合规证明伪造系统，生成的PDF文件包含真实姓名、地址、税务状态等实时数据，仅数字签章用随机填充值模拟。

对于只核对纸质文件内容、不做密码学验证的银行、企业、机构而言，这份伪造文件完全无法分辨真伪。只要攻击持续存在，伪造服务就会一直运行，沦为黑色产业链的核心工具。

整场攻击中，超400个自定义攻击脚本、20个针对性漏洞利用工具、1088条攻击者指令，全部由AI参与生成，单一操作员完成了原本需要十余人专业团队的工作量，攻击周期被压缩到传统防守团队无法响应的程度。

六、三大突破，重新定义网络攻击

这场攻击有三个前所未有的关键点，彻底改变了网络安全的攻防格局：

1. 商业AI成为攻击核心生产力

AI并非简单辅助，而是包办漏洞开发、权限提升、横向渗透、数据分析全流程，安全护栏可被低成本绕过，AI从安全工具沦为攻击利器。

2. 单人攻击实现团队级破坏力

AI降低攻击技术门槛，无需深厚代码能力、无需丰富渗透经验，仅凭自然语言指令，就能完成国家级关键信息基础设施的大规模入侵。

3. 攻击效率与隐蔽性双重拉满

AI自动优化操作痕迹、还原文件时间戳、选择低噪音攻击路径，配合快速攻击节奏，让传统检测、响应机制完全失效。

七、对国内网络安全行业的核心借鉴意义

这场发生在墨西哥的AI攻击，不是遥远的个案，而是即将到来的普遍威胁。对国内政企、关键信息基础设施行业而言，有较强借鉴意义：

1. 立即清理历史遗留问题

攻击中沦陷的墨西哥政府系统，大量处于停止支持、无补丁更新状态，成为AI攻击的突破口。国内政企需全面排查老旧系统、停服组件、无维护业务系统，该升级升级、该替换替换，不给AI自动化漏洞利用留机会。

2. 补齐基础安全短板，比追新技术更重要

此次攻击利用的均是常规漏洞：弱口令、未授权访问、权限配置不当、横向移动未隔离。国内机构需落实补丁常态化更新、高权限凭证定期轮换、网络区域隔离、终端检测与响应、最小权限原则，基础防护筑牢，AI攻击就失去最大抓手。

3. 构建针对AI自动化攻击的检测能力

传统规则无法应对AI自主优化的攻击行为，需升级异常行为检测：监控批量命令执行、非常规横向移动、定时任务异常修改、Root权限异常获取、大规模数据外发等行为，从“查漏洞”转向“查行为”。

4. 正视AI攻防趋势，主动布局对抗能力

AI不仅是防守工具，更是攻击工具。国内安全从业者需加快探索AI攻击检测、AI行为溯源、AI漏洞对抗等AI自动化安全技术，政企需建立AI安全使用规范，严防商业AI被用于恶意攻击，同时提升自身AI防守能力。

AI已经彻底抹平攻击门槛，让0代码、低成本、大规模、高隐蔽性的入侵成为现实。对于国内网络安全行业而言，这场攻击不是故事，而是预警。

·END·

LiteLLM SQL注入漏洞可无条件触发

Tue, 28 Apr 2026 15:49:00 +0800

原创微步情报局 2026-04-28 15:49 北京

立即查看详情 →

漏洞概况

LiteLLM 是一个使用广泛的开源大语言模型统一接口库，常作为代理服务使用，使开发者能够通过统一的 API 格式调用 OpenAI、Anthropic、Azure 等不同厂商的大模型，简化多模型接入与管理流程。

近日，LiteLLM官方发布通告，修复了LiteLLM SQL注入漏洞（CVE-2026-42208）。微步情报局已成功复现。经分析，LiteLLM Proxy在处理Authorization头的API Key验证过程中存在 SQL 注入漏洞。该漏洞位于身份认证失败后的错误日志机制，攻击者无需任何有效凭证，通过构造 Bearer token注入请求，即可成功利用该漏洞。（完整漏洞情报请查阅https://x.threatbook.com/v5/vul/XVE-2026-16028）

根据 LiteLLM 的使用场景，该漏洞可实现未经授权读取敏感凭证（保存的大模型 API key），暴露在公网的 LiteLLM Proxy 实例风险极高，建议受影响的用户立即升级并修改所有保存在 LiteLLM 数据库中的密钥。

漏洞处置优先级(VPT)

综合处置优先级：高风险

基本信息	微步编号	XVE-2026-16028
	CVE编号	CVE-2026-42208
	漏洞类型	SQL注入
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	否
	对被攻击系统的要求	无特殊要求
	利用漏洞的权限要求	无须用户权限
	是否需要受害者配合	否
利用情报	POC是否公开	是
利用情报	已知利用行为	是

漏洞影响范围

产品名称	LiteLLM
受影响版本	1.81.16<=version<1.83.7
有无修复补丁	有

漏洞复现

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载：
https://github.com/BerriAI/litellm/releases/tag/v1.83.7-stable

临时缓解措施

修改配置，在general_settings中设置disable_error_logs: true。

微步产品支撑

微步漏洞情报于2026-04-28收录该漏洞。

微步威胁感知平台TDP已于20260428支持检测，检测ID：S3100174805，模型/规则高于：20260428000000可检出。

- END -

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

X漏洞奖励计划

https://socket.dev/blog/checkmarx-supply-chain-compromise

突发：Checkmarx再次遭遇供应链投毒！速查

Thu, 23 Apr 2026 11:17:00 +0800

微步情报局 2026-04-23 11:17 北京

TeamPCP再作案

4月22日，微步情报局监测到有国外机构披露，Checkmarx 相关官方分发渠道疑遭供应链攻击：官方 checkmarx/kics Docker Hub 仓库中多个 KICS 镜像标签被恶意覆盖，同时近期发布的 Checkmarx 开发者扩展版本中还发现可静默下载并执行远程载荷的恶意逻辑。

Docker 首先发现异常镜像推送并通知 Socket；Checkmarx 此前也曾就 2026 年 3 月 23 日 OpenVSX 插件与 GitHub Actions 事件发布安全通告。本次事件显示，攻击者不仅意图窃取开发者与云凭证，还试图利用被盗 GitHub / npm 令牌继续横向传播。
Checkmarx / KICS 项目基础信息

Checkmarx 是知名应用安全厂商，提供 SAST、SCA、容器与 CI/CD 安全等产品；KICS（Keeping Infrastructure as Code Secure）是其开源 IaC 安全扫描工具，常用于 Terraform、CloudFormation、Kubernetes 等配置扫描。

核心能力：KICS 可扫描基础设施即代码模板中的安全配置缺陷、敏感项与合规风险，常通过 CLI、GitHub Actions、容器镜像与 IDE / 扩展生态集成到开发流程中。

本次受攻击情况：Socket 发现 checkmarx/kics 官方 Docker Hub 仓库中的多个标签被指向恶意摘要，近期 Checkmarx 扩展版本还会在激活后从硬编码 GitHub 地址下载 mcpAddon.js 并通过 Bun 立即执行；恶意逻辑涉及凭证窃取、数据外传、GitHub Actions 注入和 npm 传播。

事件核心概况与时间线

披露时间：2026 年 4 月 22 日

攻击目标：Checkmarx 官方 KICS Docker 镜像标签、近期发布的 Checkmarx 开发者扩展版本，以及后续可访问的 GitHub / npm 资产

受影响扩展版本：checkmarx/cx-dev-assist 1.17.0、1.19.0；checkmarx/ast-results 2.63.0、2.66.0

受影响镜像标签：v2.1.20、v2.1.20-debian、debian、alpine、latest；恶意新增标签 v2.1.21 随后被删除

疑似攻击团伙：TeamPCP 被认为“疑似认领”，但公开贴文不能单独构成归因结论

攻击类型：官方制品仓库被篡改 + IDE / 扩展供应链投毒 + GitHub Actions 工作流注入 + 凭证窃取与横向传播

触发方式：扩展激活后静默下载并执行第二阶段载荷；受污染镜像运行后可能泄露扫描内容与相关敏感信息

核心目的：窃取 GitHub、npm、云平台、SSH 等凭证，并利用被盗权限继续创建公开仓库、注入工作流、 republish 可写 npm 包

关键时间线

2026 年 3 月 23 日，Checkmarx 发现其部分 OpenVSX 插件与 GitHub Actions 工作流曾遭供应链事件影响，并发布后续安全更新说明。

2026 年 4 月 22 日，Docker 监测到 checkmarx/kics 官方仓库出现可疑镜像推送，并将线索通报给 Socket。

随后，Socket 分析发现恶意 KICS 镜像中包含被篡改的 kics 二进制，同时近期 Checkmarx 扩展版本还会下载执行 mcpAddon.js。

Socket 进一步确认该载荷除本地与云凭证窃取外，还会滥用 GitHub 令牌创建公开仓库、注入恶意 GitHub Actions 工作流并利用 npm 凭证寻找可写包进行再发布。

事件披露后，相关恶意镜像标签被恢复或删除；Socket 表示已将发现同步给 Checkmarx，事件仍在持续调查中。

技术执行流程：KICS 二进制劫持详解

植入与触发

恶意逻辑存在于近期发布的 Checkmarx 扩展版本中。扩展激活后，会从 Checkmarx 自有 GitHub 仓库某个硬编码提交中拉取 mcpAddon.js，写入 ~/.checkmarx/mcp/mcpAddon.js，并通过 Bun 运行；同时，恶意 KICS Docker 镜像中打包了被篡改的 Go 语言 ELF 可执行文件 kics。

Stage 1：远程载荷拉取与本地执行

扩展在用户无明确确认、无完整性校验的情况下，从 raw.githubusercontent.com 指向的特定提交拉取第二阶段脚本；该提交被伪装成历史正常提交，并通过 Git 历史投递和孤立提交方式降低人工与自动审查发现概率。

mcpAddon.js 使用多层混淆，包括超长单行 bundle、字符串表解码、额外自定义解码器，以及 gzip + base64 内嵌载荷。嵌入内容除主窃密逻辑外，还包括用于 republish npm 包的 setup.mjs、恶意 GitHub Actions YAML、公钥和其他字符串。

Stage 2：主机侦察、凭证收集与外传

mcpAddon.js 会调用受害主机 shell（PowerShell 或 Bash）枚举并窃取多类敏感信息，包括 GitHub 认证令牌、AWS 凭证、Azure 访问令牌、Google Cloud 凭证数据库、.npmrc、SSH 密钥与配置、环境变量，以及 Claude / 其他 MCP 配置文件。

Windows 环境中，恶意脚本会直接执行 gh auth token、gcloud config config-helper、az account get-access-token、azd auth token 等命令抓取令牌；收集结果会被压缩后通过 HTTPS 发送至 audit.checkmarx[.]cx/v1/telemetry，相关网络指标还包括 94[.]154[.]172[.]43。

对 KICS 镜像而言，Socket 指出被篡改二进制不仅保留扫描器功能，还带有未授权的数据收集与外传能力，可能将 IaC 扫描过程中接触到的凭证、敏感配置或机密信息暴露给攻击者。

Stage 3：GitHub 仓库滥用与公开暂存

恶意程序会滥用被盗 GitHub 凭证自动创建公开仓库作为外传暂存区，仓库描述伪装为“Checkmarx Configuration Storage”，命名模式常表现为 --<3 digits>。结果文件与提交消息中还可能嵌入令牌样数据，以仓库内容和元数据双通道暂存被窃信息。

Stage 4：GitHub Actions 注入与 npm 横向传播

恶意代码会枚举受害者可写仓库，优先选择近期活跃且配置了 GitHub Actions secrets 的仓库，自动新建分支并写入 .github/workflows/format-check.yml。该工作流在 push 时触发，通过 ${{ toJSON(secrets) }} 一次性序列化仓库及继承的组织级 secrets，写入 format-results.txt 并作为 artifact 上传。

随后，攻击者可通过已窃取的令牌下载这些 artifact，进一步扩大凭证收集范围。恶意程序还会读取 .npmrc 中的认证信息，识别受害者拥有写权限的 npm 包并尝试重新发布带毒版本，从单点入侵演变为跨生态供应链扩散。

应急处置建议

若拉取、运行或安装过上述受影响 Checkmarx 制品，应立即视为潜在凭证暴露于 CI/CD 沦陷事件，按以下步骤处置：

1. 立即隔离与移除

从开发者终端、CI Runner、构建环境中移除受影响扩展、容器镜像与相关工作流；暂停继续使用可疑 KICS 标签。

2. 全量轮换高风险凭证

重点轮换 GitHub token、npm token、云平台凭证、SSH 密钥、CI/CD secrets，以及曾暴露在被扫描配置文件、环境变量和构建环境中的其他敏感信息。

3. 审计 GitHub / npm / 云平台活动

检查是否出现异常公开仓库、新增或短暂存在的 .github/workflows/format-check.yml、异常 workflow run、artifact 下载记录、异常分支创建、未授权 npm 发布，以及云平台中的异常密钥访问与新签发凭证。

4. 终端与 Runner 狩猎

排查是否存在异常 Bun 执行、访问 .npmrc / .git-credentials / .env / 云凭证目录等行为，以及对 audit.checkmarx[.]cx、94[.]154[.]172[.]43 的出站连接。对于运行过 KICS 镜像的环境，应复核被扫描 IaC 文件中是否包含明文机密。

5. 清理与重建

对高风险开发机、Runner 与构建节点建议采用“重新制备环境 + 重新签发凭证”的方式处置；仅删除恶意文件并不足以排除二次滥用风险。

IOC

1. 恶意扩展版本

checkmarx/cx-dev-assist@1.17.0、1.19.0

checkmarx/ast-results@2.63.0、2.66.0

2. 恶意镜像标签与摘要

镜像标签：alpine、v2.1.20、v2.1.21

索引摘要

sha256:2588a44890263a8185bd5d9fadb6bc9220b60245dbcbc4da35e1b62a6f8c230d

amd64 镜像摘要

sha256:d186161ae8e33cd7702dd2a6c0337deb14e2b178542d232129c0da64b1af06e4

arm64 镜像摘要

sha256:415610a42c5b51347709e315f5efb6fffa588b6ebc1b95b24abf28088347791b

镜像标签：debian、v2.1.20-debian、v2.1.21-debian

索引摘要

sha256:222e6bfed0f3bb1937bf5e719a2342871ccd683ff1c0cb967c8e31ea58beaf7b

amd64 镜像摘要

sha256:a6871deb0480e1205c1daff10cedf4e60ad951605fd1a4efaca0a9c54d56d1cb

arm64 镜像摘要

sha256:ff7b0f114f87c67402dfc2459bb3d8954dd88e537b0e459482c04cffa26c1f07

镜像标签：latest

索引摘要

sha256:a0d9366f6f0166dcbf92fcdc98e1a03d2e6210e8d7e8573f74d50849130651a0

amd64 镜像摘要

sha256:26e8e9c5e53c972997a278ca6e12708b8788b70575ca013fd30bfda34ab5f48f

arm64 镜像摘要

sha256:7391b531a07fccbbeaf59a488e1376cfe5b27aef757430a36d6d3a087c610322

3. 网络 IOC

IP：94[.]154[.]172[.]43

domain：audit.checkmarx[.]cx

URL：https://audit.checkmarx[.]cx/v1/telemetry

4. 文件与哈希 IOC

mcpAddon.js：

MD5 d47de3772f2d61a043e7047431ef4cf4

SHA1 2b12cc5cc91ec483048abcbd6d523cdc9ebae3f3

SHA256 24680027afadea90c7c713821e214b15cb6c922e67ac01109fb1edb3ee4741d9

kics（ELF）：

MD5 e1023db24a29ab0229d99764e2c8deba

SHA1 250f3633529457477a9f8fd3db3472e94383606a

SHA256 2a6a35f06118ff7d61bfd36a5788557b695095e7c9a609b4a01956883f146f50

六、事件总结与防御建议

核心结论

本次 Checkmarx 事件并非单一产品被投毒，而是同时涉及容器镜像、开发者扩展、GitHub 仓库、GitHub Actions 与 npm 生态的复合型供应链攻击；

攻击者目标不止于一次性窃密，而是试图利用开发者与 CI/CD 权限持续横向传播，形成“窃取凭证—扩大战果—再次投毒”的链式攻击。

防御建议

依赖与产品治理：对扩展、容器镜像、GitHub Actions 版本与摘要实行固定和校验，避免直接信任 latest、浮动标签与未经校验的远程脚本；

凭证最小化：缩减 GitHub / npm / 云平台令牌权限，优先短时令牌与细粒度作用域，降低单个开发机失陷后的爆炸半径；

CI/CD 加固：限制 GitHub Actions 默认权限、审计 artifact 下载、监控非常规 workflow 文件写入，禁止不必要的第三方执行环境与发布权限；

检测与响应：持续监控异常公开仓库创建、镜像摘要漂移、Bun 非预期执行、敏感文件访问和 IOC 出站流量，并建立供应链投毒的快速下线与密钥轮换机制。

供应链安全事件正在从“恶意包”升级为“官方渠道被劫持 + 多生态联动传播”。对企业而言，信任官方来源已不再足够，必须把版本固定、摘要校验、最小权限和持续审计作为默认控制。

参考链接：

https://checkmarx.com/blog/checkmarx-security-update/

https://research.jfrog.com/post/xinference-compromise/

突发：Xinference PyPI 遭投毒！速查

Thu, 23 Apr 2026 11:17:00 +0800

微步在线研究响应中心 2026-04-23 11:17 北京

2026 年 4 月 22 日，JFrog 安全研究团队披露PyPI 官方包 xinference 遭供应链投毒，恶意版本 2.6.0、2.6.1、2.6.2 被植入窃密木马，导入即执行恶意脚本，该脚本无持久化的快速窃取云平台和本地主机密钥信息。JFrog 安全研究团队称该事件与近期频发的TeamPCP 多生态供应链攻击同源，但TeamPCP当日发推特否认，并称该事件为模仿犯罪。

一、Xinference 项目基础信息

Xinference（Xorbits Inference）是 Xorbits 团队开发的开源分布式 AI 模型推理框架，主打一键部署、高性能、多模型兼容，是 AI 开发与私有化大模型部署的主流工具，PyPI 周下载量达数万级。

●核心能力：支持 LLM、多模态、TTS/STT、Embedding 等模型推理，兼容 vLLM、Transformers、llama.cpp 等后端，提供 REST API 与 OpenAI 兼容接口，支持分布式多机推理与高并发优化。

●本次受攻击情况：攻击者劫持正版包发布权限，直接向 PyPI 上传恶意版本；恶意代码嵌入xinference/__init__.py，导入、CLI 启动、下游依赖调用均会触发执行；受影响版本已被维护者紧急下架（yanked）。

二、事件核心概况与时间线

核心信息

●披露时间：2026 年 4 月 22 日

●攻击目标：PyPI 正版 xinference 包

●恶意版本：2.6.0、2.6.1、2.6.2

●攻击团伙：疑似 TeamPCP（团伙否认，称系模仿者）

●攻击类型：正版包劫持 + 供应链投毒

●触发方式：包导入即执行

●核心目的：纯窃取密钥 / 凭证 / 机密，无勒索、无后门、无远控、无持久化

关键时间线

1. 攻击者窃取维护者 / CI/CD 凭证，登录 PyPI 上传 xinference 2.6.0/2.6.1/2.6.2 恶意版本；

2. 用户发现异常行为，并在项目 GitHubissue询问开发者，项目维护者确认并紧急下架问题版本；

3. JFrog 发布技术分析报告，并确认该事件与 TeamPCP 系列攻击同源；

4. TeamPCP 通过 Twitter 否认涉案，声明系第三方冒用其标识作案。

三、技术执行流程：两阶段窃密木马详解

植入与触发

恶意代码嵌入xinference/__init__.py，导入包即触发执行，无用户交互、无明显异常，隐蔽性极强。

Stage 1：加载器与数据外发

●内嵌 base64 编码载荷，通过subprocess.Popen启动独立 Python 后台进程，屏蔽 stdout/stderr，隐藏恶意行为；

●解码并释放 Stage 2 收集器，执行后将结果写入临时文件，压缩为love.tar.gz；

●通过 curl POST 上传Stage2中收集并打包压缩的窃密信息至攻击者服务器https://whereisitat.lucyatemysuperbox.space/，并携带自定义头X-QT-SR: 14；

●执行完毕自动清理临时文件，不留痕迹。

Stage 2：主机侦察与机密收集

全面搜刮主机与云环境敏感数据，覆盖：

●主机基础信息：hostname、whoami、ip、路由、环境变量；

●密钥凭证：SSH 私钥、TLS 密钥（.pem/.key/.p12）、Git 凭证、AWS/Azure/GCP 云凭证；

●配置文件：.env 系列、.npmrc/.pypirc、Docker 认证、K8s 服务账户令牌；

●基础设施：Terraform、Helm、WireGuard 配置；

●其他：数据库密码、加密货币钱包、本地账户数据。

AWS 专项利用逻辑

载荷内置 AWS 专属代码，尝试获取 IMDSv2 令牌、窃取 IAM 角色凭证，调用secretsmanager.ListSecrets、ssm.DescribeParameters接口，定向窃取云平台机密。

总体这个脚本窃取了主机与云环境中的敏感信息：包括用户与系统身份信息（hostname、whoami、网络与路由、环境变量）、SSH 相关密钥与配置（用户私钥、authorized_keys、/etc/ssh 主机密钥）、各类凭据文件（.env、Git/AWS/GCP/Azure/Docker/Kubernetes 配置与 token、数据库配置与口令文件、/etc/shadow 等）、CI/基础设施与证书材料（Terraform、Ansible、WireGuard、SSL/PEM/KEY）、命令历史与常见 API key/webhook 线索，以及加密货币钱包与私钥文件（Bitcoin/Ethereum/Solana 等）；同时它还会主动探测云元数据服务（169.254.169.254/169.254.170.2）抓取临时云凭证并尝试枚举 AWS Secrets Manager/SSM。

四、应急处置指南

若安装 / 导入过 xinference 2.6.0–2.6.2，立即视为环境已沦陷，按以下步骤处置：

1. 隔离主机

●隔离受影响主机，断开敏感网络连接；

●检查出站流量与 DNS 查询，阻断到whereisitat.lucyatemysuperbox.space的访问。

2. 全量密钥轮换

轮换所有泄露风险密钥：SSH 私钥、云厂商 AK/SK、K8s 令牌、Docker 仓库凭证、PyPI/npm/Cargo 发布令牌、数据库密码、.env 密钥、TLS 证书、CI/CD 凭证、加密货币钱包助记词。

3. 日志审计

核查 AWS CloudTrail、K8s 审计日志、Git 托管日志、镜像仓库操作记录、Shell 历史与认证日志，确定泄露范围与时间窗口。

4. 清理与重建

# 卸载恶意包、清理缓存
pip uninstall xinference
pip cache purge
# 重装安全版本（2.6.0之前的安全版本）
pip install xinference==2.5.0

五、IOC

恶意包版本

●xinference==2.6.0、2.6.1、2.6.2

网络 IOC

●域名：whereisitat.lucyatemysuperbox.space

●URL：hxxps://whereisitat.lucyatemysuperbox.space/

●自定义 HTTP 头：X-QT-SR: 14

文件与哈希 IOC

●xinference/init.py SHA256：e1e007ce4eab7774785617179d1c01a9381ae83abfd431aae8dba6f82d3ac127

●Stage 1 解码后 SHA256：077d49fa708f498969d7cdffe701eb64675baaa4968ded9bd97a4936dd56c21c

●Stage 2 解码后 SHA256：fe17e2ea4012d07d90ecb7793c1b0593a6138d25a393192263e751660ec3cd0

●临时归档文件：love.tar.gz

●文本标记：# hacked by teampcp

六、事件总结与防御建议

核心结论

1. 本次 xinference 攻击是轻量化窃密变体，无持久化、无加密，更隐蔽、更难检测，以快速窃取密钥为唯一目的；

2. 正版包劫持风险远超钓鱼包，开发者对官方版本信任度高，一旦被投毒，扩散速度极快、影响范围极广。

防御建议

1. 依赖管理：固定生产环境依赖版本，避免自动升级，仅使用官方签名包；

2. 权限管控：最小化 PyPI/GitHub 维护者权限，启用双因素认证，定期轮换 CI/CD 凭证；

3. 检测防护：部署供应链安全工具，监控 PyPI 恶意版本，拦截 IOC 相关出站流量；

4. 应急响应：建立包投毒应急流程，定期开展密钥轮换与环境审计，降低攻击影响。

供应链安全已成为 AI 与云原生环境的核心薄弱点，TeamPCP 系列攻击警示开发者与企业：信任不能替代验证，每一次依赖更新都需严格校验。

参考链接：

无条件接管Nginx！Nginx-UI漏洞链发现在野利用

Thu, 16 Apr 2026 17:19:00 +0800

原创微步情报局 2026-04-16 17:19 北京

立即查看详情 →

漏洞概况

Nginx-UI是一款广受欢迎的开源Nginx可视化管理面板，它提供简洁友好的Web界面，帮助用户轻松管理Nginx配置、申请证书、查看日志以及重载服务。

近日，微步情报局监测到Nginx-UI相关漏洞：CVE-2026-33032 出现在野利用行为。微步情报局已成功复现。经分析，Nginx-UI的MCP功能存在严重的鉴权缺陷：/mcp接口实现了严格的身份认证，但/mcp_message接口仅做了IP白名单校验，且当IP白名单为空（默认配置）时，系统会允许所有IP访问。由于/mcp接口需要严格认证，攻击者难以直接建立有效的MCP会话，也就无法获取sessionId，因此仅从本漏洞来看，单独利用的难度较高，实际危害较为有限。（完整漏洞情报请查阅https://x.threatbook.com/v5/vul/XVE-2026-10589）

但攻击者可以结合另一个漏洞CVE-2026-27944，下载并解密Nginx-UI的备份文件，从而获取有效的node_secret。随后使用node_secret 请求/mcp接口，建立MCP会话，获得有效的sessionId，最终实现对 /mcp_message 的未授权访问，执行任意MCP操作（如新增或修改Nginx配置、写入恶意文件、甚至重启Nginx服务），造成严重安全风险。

漏洞处置优先级(VPT)

综合处置优先级：中风险

基本信息	微步编号	XVE-2026-10589
	CVE编号	CVE-2026-33032
	漏洞类型	认证绕过
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	是
	对被攻击系统的要求	无特殊要求
	利用漏洞的权限要求	无须用户权限
	是否需要受害者配合	否
利用情报	POC是否公开	是
利用情报	已知利用行为	存在在野利用行为

漏洞影响范围

产品名称	Nginx-UI
受影响版本	version <= 2.3.3
有无修复补丁	有

漏洞复现

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载：
https://github.com/0xJacky/nginx-ui/releases/tag/v2.3.6

临时缓解措施

配置层：将可信IP设置为白名单(默认路径/etc/nginx-ui/app.ini)

微步产品支撑

微步漏洞情报于2026-03-31收录该漏洞。

针对CVE-2026-33032，微步威胁感知平台TDP已于20260416支持检测，检测ID：S3100174604，模型/规则高于：20260416000000可检出。

针对CVE-2026-27944，微步威胁感知平台TDP已于20260416支持检测，检测ID：S3100174602，模型/规则高于：20260416000000可检出。

- END -

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

X漏洞奖励计划

Apache Tomcat 远程代码执行漏洞，附漏洞自查方案

Wed, 15 Apr 2026 15:55:00 +0800

原创微步情报局 2026-04-15 15:55 北京

立即查看详情 →

漏洞概况

Apache Tomcat是一款开源的Java Servlet容器和Web服务器，广泛用于部署和运行Java Web应用。

近日，Apache Tomcat官方发布通告，修复了Apache Tomcat 远程代码执行漏洞（CVE-2026-34486）。微步情报局已成功复现。经分析，该漏洞源于针对CVE-2026-29146的修复引入了回归缺陷。在消息解密失败后，未能正确终止消息处理流程，而是继续调用 super.messageReceived(msg)，导致攻击者构造的未加密或加密错误的恶意消息能够绕过加密保护，直接进入 Tribes 集群的反序列化流程，若服务器类路径中存在可利用的反序列化链，则可实现远程代码执行。（完整漏洞情报请查阅https://x.threatbook.com/v5/vul/XVE-2026-12886）

此漏洞利用条件较为苛刻，建议用户通过如下方案自查：
1. 优先排查Tomcat版本
2. 集群状态和EncryptIntercepto排查：检查是否启用了 Tribes 集群并开启EncryptInterceptor，此组件默认不开启，可自查配置文件(默认路径$CATALINA_HOME/conf/server.xml)中是否存在集群配置关键字(如："SimpleTcpCluster")和EncryptInterceptor关键字(如："encryptionKey=")

3. 检查集群端口（Tribes Receiver 端口）开放情况

建议受此漏洞影响用户尽快修复。

漏洞处置优先级(VPT)

综合处置优先级：中风险

基本信息	微步编号	XVE-2026-12886
	CVE编号	CVE-2026-34486
	漏洞类型	远程命令执行
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	否
	对被攻击系统的要求	1.启用Tribes集群功能 2.攻击者能够访问集群端口(默认于4000开放) 3.集群通信配置EncryptInterceptor 拦截器 4.目标服务器的Java类路径中存在可利用的反序列化链
	利用漏洞的权限要求	无须用户权限
	是否需要受害者配合	否
利用情报	POC是否公开	否
利用情报	已知利用行为	暂无

漏洞影响范围

产品名称

Apache Tomcat

受影响版本

9.0.116

10.1.53

11.0.20

有无修复补丁

有

漏洞复现

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载：
https://tomcat.apache.org/download-90.cgi
https://tomcat.apache.org/download-101.cgi
https://tomcat.apache.org/download-110.cgi

临时缓解措施

网络层面严格限制Tomcat集群通信端口的访问来源。

微步产品支撑

微步漏洞情报于2026-04-10收录该漏洞。

微步威胁感知平台TDP、微步威胁防御系统OneSIG Java反序列化攻击的通用规则默认可检出。

- END -

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

X漏洞奖励计划

Axios爆SSRF漏洞，特定条件下可导致RCE

Tue, 14 Apr 2026 15:06:00 +0800

原创微步情报局 2026-04-14 15:06 北京

立即查看详情 →

漏洞概况

Axios是一个基于Promise的HTTP客户端，广泛应用于浏览器和Node.js环境。

近日，Axios官方发布安全通告，修复了一个SSRF漏洞（CVE-2026-40175）。微步情报局已成功复现该漏洞。经分析，该漏洞无需用户权限即可利用。攻击者可通过传入相对URL或绝对URL的方式，控制请求发送至非预期目标，从而对内网服务发起探测与访问，导致敏感信息泄露或内网资产被攻击。

值得注意的是，在特定场景下，若结合不安全的运行环境配置或业务代码，影响会进一步扩大，导致远程代码执行。建议受影响用户尽快升级修复。（完整漏洞情报请查阅 https://x.threatbook.com/v5/vul/XVE-2026-13154）

漏洞处置优先级(VPT)

综合处置优先级：中风险

基本信息	微步编号	XVE-2026-13154
	CVE编号	CVE-2026-40175
	漏洞类型	SSRF
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	否
	对被攻击系统的要求	无特殊要求
	利用漏洞的权限要求	无须用户权限
	是否需要受害者配合	否
利用情报	POC是否公开	是
利用情报	已知利用行为	暂无

漏洞影响范围

产品名称	Axios
受影响版本	< 1.15.0
有无修复补丁	有

漏洞复现

SSRF:

RCE:

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载：
https://github.com/axios/axios/releases/tag/v1.15.0

临时缓解措施

配置层：对 Host 头进行严格校验，仅允许业务使用的合法域名，避免攻击者通过伪造或覆盖 Host 头访问非预期的内部服务；同时避免直接信任 X-Forwarded-Host、X-Host、X-Original-Host 等非标准头。

微步产品支撑

微步漏洞情报于2026-04-11收录该漏洞。

微步威胁感知平台TDP已于20260414支持检测，检测ID：S3100174564，模型/规则高于：20260414000000可检出。

- END -

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

X漏洞奖励计划

Nginx曝新漏洞，特定配置下可实现任意文件读写

Sat, 11 Apr 2026 16:45:00 +0800

原创微步情报局 2026-04-11 16:45 北京

立即查看详情 →

漏洞概况

Nginx是一款轻量级的高性能Web服务器和反向代理服务器。ngx_http_dav_module 是 Nginx 的一个内置 HTTP WebDAV 模块，用来让客户端通过 HTTP 方法直接操作服务器上的文件和目录。

微步情报局于今日监控到Ngnix ngx_http_dav_module模块缓冲区溢出漏洞（CVE-2026-27654）。微步情报局已成功复现。当Nginx配置同时满足以下条件时，攻击者可以通过特制请求触发缓冲区溢出：
1. location 是普通前缀块
2. 开启 dav_methods COPY/MOVE
3. 使用alias指令来映射本地目录

经分析，ngx_http_dav_module模块非默认安装，且漏洞依赖特殊配置，可能实际影响资产数量较为有限。但由于该漏洞aarch64架构上的利用脚本已公开，且能造成任意文件读写，建议用户自查当前Nginx配置是否满足上述利用条件，如果确认受影响请尽快修复。

（完整自查方案请查阅微步漏洞情报：https://x.threatbook.com/v5/vul/XVE-2026-9305）

漏洞处置优先级(VPT)

综合处置优先级：中风险

基本信息	微步编号	XVE-2026-9305
	CVE编号	CVE-2026-27654
	漏洞类型	缓冲区溢出
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	否
	对被攻击系统的要求	1.需要使用ngx_http_dav_module模块 2. 必须允许COPY或MOVE方法 3. 必须使用alias指令来映射本地目录 4. location配置中必须存在一个普通的、非正则表达式的URI前缀匹配块
	利用漏洞的权限要求	无需用户权限
	是否需要受害者配合	否
利用情报	POC是否公开	是
利用情报	已知利用行为	暂无

漏洞影响范围

产品名称	F5 \| NGINX
受影响版本	开源版 0.5.13 <= version <= 0.9.7 1.0.0 <= version < 1.28.3 1.29.0 <= version < 1.29.7 商业版 R36 分支：R36 <= version < R36 P3 R35 分支：R35 <= version < R35 P2 R34 分支：所有版本 R33 分支：所有版本 R32 分支：R32 <= version < R32 P5
有无修复补丁	有

漏洞复现

由上图可见成功读取/etc/passwd文件

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载：
https://my.f5.com/manage/s/article/K000160382

临时缓解措施

修改nginx.conf中对应的location块，在dav_methods中禁用COPY和MOVE方法，配置方式如下所示：
1. 将nginx.conf中dav_methods COPY; 修改为 dav_methods PUT DELETE MKCOL;
2. 检查Nginx配置：nginx -t -c /tmp/lab/nginx.conf -p /tmp/lab/
3. 重启 Nginx：nginx -s reload

微步产品支撑

微步漏洞情报于2026-03-24收录该漏洞。

微步威胁感知平台TDP通用规则默认可检出。

- END -

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

X漏洞奖励计划

漏洞通告 | ActiveMQ远程代码执行漏洞

Thu, 09 Apr 2026 08:31:00 +0800

原创微步情报局 2026-04-09 08:31 北京

立即查看详情 →

漏洞概况

Apache ActiveMQ是一款开源的、实现了JMS规范的消息中间件，提供高性能的消息传递服务。

近日，Apache ActiveMQ官方发布通告，修复了Apache ActiveMQ Jolokia接口代码注入漏洞（CVE-2026-34197）。微步情报局已成功复现。经分析，该漏洞利用需要具备普通用户权限，攻击者具备该权限后可构造特定请求使Broker配置远程加载恶意配置，进而实现代码执行。

值得注意的是，在ActiveMQ 6.x版本中，攻击者能够通过在CVE-2024-32114绕过鉴权，调用任意管理API，所以可结合本漏洞形成组合利用链，最终实现无条件远程代码执行。

漏洞处置优先级(VPT)

综合处置优先级：中风险

基本信息	微步编号	XVE-2026-11858
	CVE编号	CVE-2026-34197
	漏洞类型	代码注入
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	否
	对被攻击系统的要求	无特殊要求
	利用漏洞的权限要求	需要普通用户权限
	是否需要受害者配合	否
利用情报	POC是否公开	是
利用情报	已知利用行为	暂无

漏洞影响范围

产品名称	Apache ActiveMQ
受影响版本	version <= 5.19.3, 6.0.0 <= version <= 6.2.2
有无修复补丁	有

漏洞复现

加载上述恶意XML文件：

可见文件成功创建。

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载：
https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt

临时缓解措施

1、网络层：程序默认只对本地127.0.0.1开放，若改为0.0.0.0请将程序收敛至内网，或设置白名单仅允许可信IP访问/api/jolokia

2、配置层：此漏洞利用需要普通用户权限，加强密码策略也可一定程度上限制此漏洞

微步产品支撑

微步漏洞情报于2026-04-06收录该漏洞。

微步威胁感知平台TDP已于20260408支持检测，检测ID：S3100174472，模型/规则高于：20260408000000

- END -

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

X漏洞奖励计划

https://github.com/vim/vim/security/advisories/GHSA-2gmj-rpqf-pxvh

辟谣！Everything没被银狐投毒！

Wed, 08 Apr 2026 17:54:00 +0800

微步在线研究响应中心 2026-04-08 17:54 北京

可以放心了

2026年4月8日下午，微步情报局观察到有传言称everything工具某历史版本被“银狐”投毒，经过快速分析，我们初步确认：该版本的everything工具被“银狐”投毒传言为假，用户可正常使用。

事件起因与最终结论

今天下午我们发现有一个名为《关于everything工具1.4.1.1022版本存在可疑木马活动的排查情况》的pdf文件正在流传，我们初步分析结论如下：

1. 文件中提及可疑美国IP：13.107.246.50为CDN IP

2. 文件中提及可疑的Everything-1.4.1.1022.x64-Setup.exe文件为白文件，已存在超过4年

3. 基于现有证据无法将工具安装包关联到“银狐”木马

4. 该白文件疑为银狐木马运行所使用的“白加黑”技术中的白文件，用于加载银狐黑DLL文件

pdf文档首屏截图

详细分析

针对该文档内对应的官网下载地址：https://www.voidtools.com/Everything-1.4.1.1022.x64-Setup.exe，下载样本为：

488d285760eb1aeb148e2aec18a2f063571a6630acb26a02b6751c56ca4a95be

该样本至少存在4年以上，于2022年10月10日被用户上传至微步S云沙箱，经过S沙箱分析，该样本为正常文件：

针对该文档中恶意IOC：hc15.ime.hk /bb.kgdhjc.com为银狐远控使用IOC

但银狐木马善于使用进程注入以及白加黑技术来进行免杀，所以发起远控请求的进程不一定是恶意程序，也可能包含白文件进程或者系统进程。

因此社区用户会被误导分享该IP为银狐IOC，但实际为白文件所请求的CDN IP：

该银狐IOC关联的相关样本均为一些仿冒软件安装包程序，诱饵文件中包含：Chrome，搜狗输入法，汽水音乐，Xshell等常见软件。

这是银狐木马常见的仿冒钓鱼网站并投递银狐木马的攻击手法，微步情报局建议用户在尝试下载软件时，在x社区查询下载网站是否为钓鱼网站：

同时在使用软件时，如对文件安全性存疑，推荐使用微步云沙箱进行检查后使用:

http://s.threatbook.com

AI一句话挖出Vim RCE？还缺亿点点细节

Wed, 01 Apr 2026 08:05:00 +0800

原创微步情报局 2026-04-01 08:05 北京

立即查看详情 →

漏洞概况

Vim是一款跨平台文本编辑器，其modeline功能允许在文件首尾行设置编辑器选项。

近日，Vim官方发布通告，修复了Vim 远程代码执行漏洞（CVE-2026-34714）。微步情报局已成功复现。经分析，该漏洞源于Vim处理tabpanel选项时存在两处安全缺陷：tabpanel选项可通过modeline设置表达式而无需验证；autocmd_add()函数缺少安全检查，可在沙箱内注册沙箱外执行的自动命令。（完整漏洞情报请查阅https://x.threatbook.com/v5/vul/XVE-2026-10680）

此漏洞无须用户权限，攻击者通过诱使受害者使用Vim打开恶意文件，便可以受害者权限执行任意命令。

需要注意的是，虽然此漏洞是安全研究员通过 Claude Code + Opus 4.6 使用一句Prompt便完成的漏洞挖掘，但目前来看 AI 产出的漏洞缺失一些关键的细节，以至于还不能直接用到漏洞管控。

以本漏洞为例，微步情报局在分析研究此漏洞的过程中发现：

Vim有不同的编译版本，通过--with-features参数控制，当编译参数为normal和tiny时，Vim不受该漏洞影响。例如，MacOS内置的Vim默认使用normal模式进行编译，不受此漏洞影响
不同权限的用户对modeline的处理方式不同，例如使用ROOT权限使用Vim时，需要在Vim配置文件中显示配置set modeline，所以以ROOT权限使用Vim默认不受影响
当前Vim通告（AI提交）声称影响版本为 < 9.2.0272。但结合代码与实测，正确范围应为：9.1.1391（tabpanel 是从 v9.1.1391 才引入） <= version < 9.2.0272

AI挖洞已成现实，但企业日常面临的漏洞“可管控、可修复”的是一个慎重且严谨的场景，还无法完全依赖AI自动化落地，仍然依赖高质量漏洞情报来保证漏洞治理效果。

漏洞处置优先级(VPT)

综合处置优先级：中风险

基本信息	微步编号	XVE-2026-10680
	CVE编号	CVE-2026-34714
	漏洞类型	RCE
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	否
	对被攻击系统的要求	确认启用tabpanel插件
	利用漏洞的权限要求	无须用户权限
	是否需要受害者配合	是
利用情报	POC是否公开	是
利用情报	已知利用行为	否

漏洞影响范围

产品名称	Vim \| Vim
受影响版本	v9.1.1391 <= version < v9.2.0272
有无修复补丁	有

漏洞复现

1. 复现版本

触发

vim poc.md

打开后会看到 :!id>/tmp/success 被执行提示，按回车，再输入 :q! 退出。

修复方案

官方修复方案

官方已发布漏洞通告，建议受影响的用户依据官方通告进行修复。

临时缓解措施

以下两种配置方式中任选一个即可：

禁用Modeline：在~/.vimrc中添加: set nomodeline
禁用Modeline表达式：在~/.vimrc中添加: set modelineexpr=0

微步产品支撑

微步漏洞情报于2026-03-30收录该漏洞。

微步终端安全管理平台OneSEC已于2026-03-31支持检测，以下为信创操作系统平台的检出截图。

- END -

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

X漏洞奖励计划

OpenClaw又又又危！Axios npm被投毒，植入全平台木马

Tue, 31 Mar 2026 13:40:00 +0800

微步情报局 2026-03-31 13:40 北京

今日，Axios这个年下载量超36亿、JavaScript 生态最核心的依赖之一，在 npm 仓库遭遇供应链投毒。相关风险已传导至OpenClaw，在北京时间3月31日8:00-12:00期间正常安装使用OpenClaw时，会因上游依赖被污染而被动接触并感染恶意代码。

恶意版本1.14.1与0.30.4会自动下载并运行远控木马，影响操作系统包括Windows、Linux及macOS。建议大家立即排查sfrclak.com反连情况（反连即失陷），处置方案详见后文。

微步OneSEC EDR已经在安装OpenClaw的机器上，检测到恶意代码：

Windows检测结果

macOS检测结果

微步情报局研判认为，这次投毒的潜在影响面几乎包括所有HTTP 请求的Node.js和浏览器应用——从 React 前端到 CI/CD 工具，再到服务器端 API。目前，恶意软件包已被官方移除。

大致时间线（UTC）如下：

3月30日23:59:12：攻击者发布恶意依赖包plain-crypto-js@4.2.1
3月31日00:00左右：攻击者利用被盗的 Axios 维护者 npm 账号，绕过 GitHub Actions CI/CD，手动发布axios@1.14.1与axios@0.30.4
3月31日00:05:41：Socket.dev 自动化检测发现异常包plain-crypto-js
3月31日04:00:00：npm官方下架恶意npm包plain-crypto-js，axios@1.14.1与axios@0.30.4

事件分析

攻击者在3月30日注册了恶意域名：sfrclak.com

在30日晚发布了恶意的npm包plain-crypto-js@4.2.1，并使用盗取的Axios 维护者 npm 账号更新了Axios1.14.1和0.30.4这两个版本，并在这俩个版本的package.json中引入了恶意的npm包。

在恶意的npm包plain-crypto-js@4.2.1中，通过package.json引入了postinstall触发命令：

运行的setup.js是一个混淆的js代码：

该js文件的作用是检测运行的主机的平台，并根据运行平台从攻击者服务通过下载不同的后续载荷：

攻击者服务器URL地址：http://sfrclak.com:8000/6202033

云沙箱S、沙箱分析平台OneSandbox检测结果如下

目前后续载荷无法下载分析。

排查方案

排查恶意域名sfrclak.com反连情况

检查项目中是否有恶意的 Axios 版本：

检查node_modules中的恶意npm包：

如果已经运行，该目录内的存根将被替换为干净的存根。目录的存在足以证明加载器已执行。setup.jspackage.json检查受影响系统上的RAT伪影：

‍

临时处置建议

封禁域名：sfrclak.com/callnrwise.com

排查自身环境：Axios的版本是否为受影响的版本1.14.1或0.30.4

排查服务依赖中是否存在恶意npm包：plain-crypto-js@4.2.1

附录

另外，微步情报局在拓线分析过程中，发现以下IOC高度疑似攻击者持有资产，用户可根据业务情况提前进行封禁。

142.11.196.73

142.11.199.73

-END-

https://2libra.com/post/network-security/8HvXoR_

大规模失陷！Apifox遭投毒，请立即排查

Thu, 26 Mar 2026 12:20:00 +0800

微步情报局 2026-03-26 12:20 北京

立即排查apifox.it.com的所有访问请求

近日国内流行的API协作平台Apifox发布公告，称遭遇供应链投毒。微步情报局研判发现，3月4日后，一旦请求域名apifox.it.com即已失陷，建议用户立即排查和做好应急处置，同时升级至最新版本，Windows、Linux以及macOS均受影响。（排查方法和处置建议详见后文）

图：Apifox官方公告

公告显示，Apifox CDN服务所托管的前端脚本文件被植入恶意代码，3月4日后启动应用有概率触发，收集主机敏感信息并下载、执行后续载荷。目前，apifox.it.com已无法访问，共持续18天。

事件分析

2026年3月25日8点36分，在2libra论坛上有用户爆出知名API协作研发平台Apifox存在投毒攻击：

微步情报局分析投毒js文件可以看到远控IOC：apifox.it.com，其余四个IOC尚未在攻击者代码中看到，但建议封禁。

Apifox基于Electron框架开发，如果在不开始沙盒（Sandbox）且通过网络加载JavaScript资源，一旦发生劫持或投毒，攻击者的恶意脚本可直接在主机环境下运行，执行命令，窃取本地文件。

旧版（SaaS版2.8.19以前）Apifox应用启动后会从官方地址获取js资源（目前请求资源正常）：

通过Wayback Machine可以搜索到该js资源在3月5号的存档：

从该存档文件可以看到，攻击者在原本js文件末尾增加了一段高度混淆的代码：

而该恶意代码首先会加载node.js的crypto，os模块

通过该模块读取设备信息：网络接口/MAC、CPU、平台、主机名、用户名等。然后尝试读取本地的common.currentUserId获取使用用户的信息，如果不存在则通过读取common.accessToken 调Apifox的官方接口补充身份信息，攻击者使用该信息作为上传窃密信息的用户标记字段af_apifox_user，af_apifox_name：

收集完成信息后，恶意脚本会调用本地硬编码的PEM 私钥对信息加密上传：

上传地址被混淆加密：

解密后地址为：https://apifox.it.com/public/apifox-event.js，并对请求响应使用硬编码的PEM私钥解密执行：

整个过程会通过scheduleNext在30分钟到3个小时之间随机间隔不断触发：

解密加载的第二阶段载荷会进一步收集窃密主机信息：

包括不限于：history文件，ssh私钥，known_hosts文件

受影响排查

Apifox官方指出在2.8.19以及更高版本，本地客户端不再通过在线加载js资源，而内置打包：

OneSEC用户可查询历史日志中是否存在IOC域名反连来确定失陷范围：

建议同时根据安装Apifox的版本来确定要升级范围，对于低于2.8.19版本的机器进行及时升级。这些低版本机器未出现ioc反连，也建议做各类密码、token和key的轮换或者重置：

用户也可以通过禁止对apifox.it.com的访问进行临时阻断。

处置建议

根据Apifox官方对该投毒事件的公告：关于 Apifox 外部 JS 文件受篡改的风险提示与升级公告 - Apifox 帮助文档。

链接：https://docs.apifox.com/8392582m0

微步情报局强烈建议，用户立即升级Apifox到2.8.19版本及以上，同时更换SSH密钥，GitHub、GitLab密码/Token，修改命令行历史中暴露的所有密码、Token 和 API Key，审查服务器登录日志，检查是否有异常 SSH 。

IOC

apifox.it.com

以下IOC暂未标记情报，由事件预警者Path@2Libra提供。尚未在攻击代码中找到相关域名，域名高度可疑，严谨起见可以封禁

cdn.openroute.dev

upgrade.feishu.it.com

system.toshinkyo.or.jp

ns.feishu.it.com

Reference

【漏洞预警】关于 apifox 被投毒的风险提示 - 2Libra

关于 Apifox 外部 JS 文件受篡改的风险提示与升级公告 - Apifox 帮助文档

https://docs.apifox.com/8392582m0

Apifox 供应链投毒攻击 — 完整技术分析 - 白帽酱の博客

https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/

-END-

安全工具被入侵，引发大规模AI供应链投毒

Wed, 25 Mar 2026 15:04:00 +0800

微步情报局 2026-03-25 15:04 北京

数千个AI项目、数十万台设备受影响

3月24日，微步情报局监测到AI核心组件LiteLLM遭遇大规模供应链投毒，PyPI仓库1.82.7和1.82.8两个版本包含攻击者植入的后门。

尽管46分钟恶意版本就被移除，但鉴于其单日300万+次、单月近亿次的下载量，仍对下游数千个AI项目造成极大影响。公开报道显示，攻击者TeamPCP声称已窃取数十万台设备的数据。此次事件基本脉络如下（UTC时间）：

2月底——攻击者入侵开源漏扫工具Trivy，植入恶意代码
3月中上旬——LiteLLM CI/CD流水线使用恶意Trivy版本，致使PyPI凭证失窃
3月24日10:39——攻击者利用PyPI凭证，上传完成两个包含后门的LiteLLM版本
3月24日11:25——恶意版本1.82.7和1.82.8被官方移除，存活46分钟

经过进一步研判，恶意代码主要在Linux平台运行，Windows几乎不受影响。

一、概述

事件概述	LiteLLM供应链投毒，窃取凭证等高价值数据
涉及产品	LiteLLM（月下载量约9700万次）
影响版本	1.82.7 和 1.82.8，已被移除，安全版本为 1.82.6
发现时间	2026年3月24日（UTC时间10:39 - 11:25）
攻击者	黑客组织 TeamPCP
事件根因	LiteLLM的CI/CD流水线使用了已被入侵的Trivy工具，导致发布权限泄露
事件危害	SSH密钥、云服务凭据（AWS/GCP/Azure）、Kubernetes机密、CI/CD令牌、加密钱包等被窃取

二、供应链分析

litellm供应链投毒主要影响1.82.7和1.82.8两个版本。

在1.82.7版本中，恶意攻击者将一段base64编码后的恶意代码加入到proxy\proxy_server.py文件中，一旦导入litellm项目中的proxy库，便启动执行该恶意代码。在proxy_server.py文件中存在三个版本，后面两个被注释的恶意编码经过分析后，与非注释恶意编码功能及通信完全相同，只是在加密方式上略有差异。

在1.82.8版本中，不但包含这种恶意代码注入，还增加了恶意的litellm_init.pth，利用 .pth文件在python运行时启动的特性进行隐匿执行。

经过代码对比，.pth文件中的恶意编码与proxy_server.py文件的非注释的恶意编码完全一致，因此主要分析以.pth文件中的恶意编码为主。

恶意编码比较简单，首先会从失陷主机窃取大量敏感数据信息，然后下载持久化脚本维持持久化，然后上传打包的敏感信息。

值得注意的是，恶意攻击者将路径设置为Linux常用目录，并未针对Windows。

获取系统信息、printenv环境变量、SSH密钥、Git凭证。

获取AWS凭证、GCP凭证、Azure凭据、Kubernetes密钥、GCP凭证、Azure凭据。

获取Docker配置信息、常见包管理、WireGuard key、CI/CD 密钥、数据库凭证。

获取Shell历史记录、加密钱包、CI/CD 密钥和Webhook信息。

通过通信获取AWS凭证等。

使用kubernetes节点下载恶意脚本保存为sysmon.py。

恶意脚本解码如下，主要访问checkmarx.zone/raw下载文件，读取其中的链接来执行二阶段脚本下载

但是当前链接已被恶意攻击者导向非恶意网站，无法继续执行下载。

后续会设置增加sysmon.service来持久化运行下载到的脚本，该脚本保存为/host/root/.config/sysmon/sysmon.py

在收集大量敏感信息后写入临时文件后，加密打包生成tpcp.tar.gz文件，然后上传到models.litellm.cloud，官方网站为litellm.ai。可以看出攻击者特地申请相似域名来进行指向性投毒，这种相似域名避免引起流量关注。

其中对数据进行加密的公钥在三个版本一直没有改变。

另外在前两个版本中使用了RC4来加密执行脚本，其中的密钥内容为nigger，说明攻击者带有一定的黑人歧视倾向，可能与种族主义有关。

三、排查方式

1.重点在linux环境下通过python命令(pip show litellm)，排查是否安装litellm的1.82.7/1.82.投毒版本,若显示版本为这两种，立即停止该服务并卸载以及对失陷机器进行断网处理。

2.针对网络通信部分，拦截models.litellm.cloud以及checkmarx.zone的域名通信。

3.排查是否存在/tmp/pglog或者/tmp/.pg_state以及/host/root/.config/sysmon/sysmon.py和tpcp.tar.gz文件以及其他python库中与litellm_init.pth的sha256一致的pth文件，如果存在，则删除该文件。另外排查是否新增非工作相关的sysmon.service，如果有，则删除该服务。

4.建议交给专业人员进行分析失陷机器是否存在其他未知风险。

四、检测方案

微步终端安全管理平台OneSEC已支持对恶意代码的精确检测，建议受影响用户及时关注数据外传和敏感文件访问等终端日志。

此外，微威胁感知平台TDP、威胁防御系统OneSIG、互联网安全接入平台OneDNS、云沙箱S、沙箱分析平台OneSandbox等，均支持对相关IOC的检测与拦截。

五、IOC

IOC	说明
d2a0d5f564628773b6af7b9c11f6b86531a875bd2d186d7081ab62748a800ebb	litellm-1.82.8.whl
71e35aef03099cd1f2d6446734273025a163597de93912df321ef118bf135238	litellm_init.pth
a0d229be8efcb2f9135e2ad55ba275b76ddcfeb55fa4370e0a522a5bdee0120b	proxy_server.py
8395c3268d5c5dbae1c7c6d4bb3c318c752ba4608cfcd90eb97ffb94a910eac2	litellm-1.82.7.whl
models.litellm.cloud	敏感信息上传
checkmarx.zone	下载持久化脚本

-END-

AI Coding Agent最新攻击总结：7大漏洞利用手法

Tue, 24 Mar 2026 16:32:00 +0800

原创微步情报局 2026-03-24 16:32 北京

附漏洞清单

与OpenClaw这类通用AI智能体不同，Claude Code、Cursor等AI Coding Agent（AI编程智能体）在企业内使用频次更高、停留时间更长，且深度嵌入开发流程、持有最高权限——一旦沦陷，源代码、API密钥乃至整个基础设施都将可能被全面接管，潜在风险更大。

本文基于微步情报局捕获的大量真实漏洞与攻击案例，系统梳理了AI Coding Agent的主要攻击向量、典型漏洞利用手法及主流安全产品现状，希望能为研发与安全团队提供一份有价值的风险预防指引。

AI Coding Agent风险本质

Claude Code、Cursor等这类典型AI Coding Agent的数据流，大致如下：

其关键风险点在于：

权限过大。Agent通常以用户身份运行，拥有几乎完整的本地文件系统与命令执行权限。
指令来源复杂。除用户直接输入外，还包括README、代码注释、npm/yarn包描述、.git/config、插件配置、MCP服务器返回等多个不可信来源。
语义难以区隔。LLM很难可靠区分“用户真实意图”与“恶意注入指令”，导致间接Prompt Injection成为最普遍、最难防御的攻击手段。

而攻击者只需在项目中植入少量恶意内容（如隐藏在注释中的指令），即可诱导智能体执行任意操作（比如，可能让智能体心甘情愿地把你的SSH密钥发到外部服务器），而智能体全程都认为自己在"帮用户完成任务"。

需要明确的是，AI Coding Agent已不再是辅助工具，而是开发者环境中权限最高的“内部进程”。其安全风险根源在于过度授权与指令边界模糊。因此，防护焦点必须从单一工具前移至AI Coding Agent的全生命周期治理。

AI Coding Agent漏洞利用手法

经过深入分析漏洞情报及攻击事件，微步情报局将AI Coding Agent攻击手法归纳为以下七类：

Prompt Injection攻击

攻击者通过README、代码注释、@Docs引用、Terminal输入通道等位置植入精心构造的恶意指令，诱导智能体执行未经授权的系统命令或文件操作。

典型案例：

自动加载与信任前执行攻击

攻击者利用项目初始化或依赖安装过程中自动加载的配置文件（如 .yarnrc.yml、.cursor/mcp.json、git配置模板等），在用户尚未明确确认或知情的情况下触发远程代码执行。

典型案例：

文件系统边界绕过攻击

通过符号链接（symlink）、Windows路径解析特性（反斜杠、NTFS备用数据流）、工作目录切换等技术手段，绕过智能体内置的路径限制规则，实现对项目目录以外敏感文件或系统的读取、修改。

典型案例：

命令解析与校验逻辑绕过攻击

利用shell解析规则与智能体命令白名单/审批逻辑之间的语义差异（如$IFS分割、ZSH特有重定向语法、命令替换、环境变量污染等），绕过预设的安全检查机制执行高危命令。

典型案例：

扩展机制与第三方控制通道攻击

针对 MCP（Model Control Protocol）、插件系统、deep-link、本地服务接口等扩展机制进行配置篡改、OAuth滥用或域名欺骗，实现持久化控制或权限提升。

典型案例：

本地接口暴露与跨域攻击

智能体或IDE扩展暴露的WebSocket、HTTP接口缺乏足够的源验证或CORS保护，导致恶意网站通过XSS、SSRF、CSRF等方式直接调用本地API，执行命令或窃取文件。

典型案例：

关键配置文件投毒与持久化控制

通过修改或注入settings.json、.git/hooks/、.yarnrc.yml、.cursorignore、

.code-workspace 等关键配置文件，实现智能体行为篡改、沙箱逃逸或持久化控制。

典型案例：

AI Coding Agent防护

目前企业仍处于功能优先、安全补救的阶段，多数产品对Prompt Injection、配置投毒、边界绕过的防御仍不充分。建议将AI编程智能体安全纳入企业供应链安全管理体系，与依赖扫描、容器化、访问控制等措施统筹推进。

从漏洞利用手法来看，短期内严格的流程管控与最小权限原则仍是最高效的现实防护手段，可采取的措施有：

强制使用最新版本，关闭Auto-Run 与Auto-Apply功能。
以容器或低权限账户隔离运行，限制对主系统访问。
克隆外部仓库前强制人工审查，禁用 .yarnrc.yml、.cursor/ 目录、git hooks 等自动加载。
MCP与插件仅限白名单，定期审计已批准配置。
监控对私钥、token、settings.json 等敏感文件的写操作。
所有shell执行必须人工确认，启用最严格白名单。
网络层面仅允许官方 API 域名访问。
建立“不可信项目隔离使用”流程，并对团队进行针对性培训。

附：部分AI Coding Agent漏洞清单

Claude Code

共21个漏洞，其中20个有CVE编号，1个仅有GHSA编号。

序号	GHSA	CVE	XVE	公告时间	官方定级	GitHub影响版本	修复版本
1	GHSA-66q4-vfjg-2qhh	CVE-2026-25722	XVE-2026-2727	2026-02-06	High	< v2.0.57	v2.0.57
2	GHSA-mhg7-666j-cqg4	CVE-2026-25723	XVE-2026-2728	2026-02-06	High	< v2.0.55	v2.0.55
3	GHSA-ff64-7w26-62rf	CVE-2026-25725	XVE-2026-2730	2026-02-06	High	< v2.1.2	v2.1.2
4	GHSA-4q92-rfm6-2cqx	CVE-2026-25724	XVE-2026-2729	2026-02-06	Low	< v2.1.7	v2.1.7
5	GHSA-qgqw-h4xq-7w8w	CVE-2026-24887	XVE-2026-2325	2026-02-03	High	< v2.0.72	v2.0.72
6	GHSA-q728-gf8j-w49r	CVE-2026-24053	XVE-2026-2340	2026-02-03	High	< v2.0.74	v2.0.74
7	GHSA-vhw5-3g5m-8ggf	CVE-2026-24052	XVE-2026-2341	2026-02-03	High	< v1.0.111	v1.0.111
8	GHSA-jh7p-qr78-84p7	CVE-2026-21852	XVE-2026-1180	2026-01-20	Medium	< v2.0.65	v2.0.65
9	GHSA-xq4m-mc3c-vvg3	CVE-2025-66032	XVE-2025-42681	2025-12-03	High		v1.0.93
10	GHSA-5hhx-v7f6-x7gv	CVE-2025-65099	XVE-2025-41441	2025-11-19	High		v1.0.39
11	GHSA-7mv8-j34q-vp7q	CVE-2025-64755	XVE-2025-41631	2025-11-20	High		v2.0.31
12	GHSA-66m2-gx93-v996	CVE-2025-59829	XVE-2025-36102	2025-10-03	Low	< v1.0.120	v1.0.120
13	GHSA-2jjv-qf24-vfm4	CVE-2025-59828	XVE-2025-35128	2025-09-24	High	< v1.0.39	v1.0.39
14	GHSA-4fgq-fpq9-mr3g	CVE-2025-59536	XVE-2025-36082	2025-10-03	High	< v1.0.111	v1.0.111
15	GHSA-j4h9-wv2m-wrf7	CVE-2025-59041	XVE-2025-33444	2025-09-09	High	<1.0.105	1.0.105
16	GHSA-qxfv-fcpc-w36x	CVE-2025-58764	XVE-2025-33443	2025-09-09	High	<1.0.105	1.0.105
17	GHSA-ph6w-f82w-28w6	N/A	XVE-2025-32752	2025-09-02	High	< v1.0.87	v1.0.87
18	GHSA-x5gv-jw7f-j6xj	CVE-2025-55284	XVE-2025-30835	2025-08-15	High	< v1.0.4	v1.0.4
19	GHSA-x56v-x2h6-7j34	CVE-2025-54795	XVE-2025-29459	2025-08-01	High	< v1.0.20	v1.0.20
20	GHSA-pmw4-pwvc-3hx2	CVE-2025-54794	XVE-2025-29460	2025-08-01	High	< v0.2.111	v0.2.111
21	GHSA-9f65-56v6-gxw7	CVE-2025-52882	XVE-2025-24962	2025-06-23	High	> 0.2.116 < 1.0.24	1.0.24+

Cursor

共 28 个漏洞，其中25个有CVE编号，3个仅有GHSA编号。

GHSA	CVE	XVE	产品（为空的是cursor）	公告时间	官方定级	GitHub影响版本	修复版本
GHSA-8pcm-8jpx-hv8r	CVE-2026-26268	XVE-2026-3480	Cursor	2026-02-13	High	<2.5	2.5
GHSA-2jr2-8wf5-v6pf	CVE-2025-64107	XVE-2025-39894	Cursor	2025-11-03	High	1.7.52	2.0
GHSA-4575-fh42-7848	CVE-2025-64106	XVE-2025-39893	Cursor	2025-11-03	High	1.7.28	2.0
GHSA-6r98-6qcw-rxrw	CVE-2025-64108	XVE-2025-39890	Cursor	2025-11-03	High	1.7.44	2.0
GHSA-vhc2-fjv4-wqch	CVE-2025-64110	XVE-2025-39888	Cursor	2025-11-03	High	1.7.23	2.0
GHSA-x2vq-h6v6-jhc6	CVE-2025-61593	XVE-2025-36148	Cursor CLI	2025-10-02	High	< 2025.09.12-4852336	2025.09.17-25b418f
GHSA-xcwh-rrwj-gxc7	CVE-2025-59944	XVE-2025-36161	Cursor	2025-10-02	High	< 1.6.23	1.7
GHSA-wj33-264c-j9cq	CVE-2025-61591	XVE-2025-36117	Cursor CLI	2025-10-02	High	< 2025.09.17-25b418f	2025.09.17-25b418f
GHSA-hf2x-r83r-qw5q	CVE-2026-31854	XVE-2026-7126	Cursor	2026-03-09	High	<2.0	2.0
GHSA-v64q-396f-7m79	CVE-2025-61592	XVE-2025-36115	Cursor CLI	2025-10-02	High	< 2025.09.17-25b418f	2025.09.17-25b418f
GHSA-4hwr-97q3-37w2	CVE-2025-64109	XVE-2025-39889	Cursor CLI	2025-11-03	High	< 2025.09.17-25b418f	2025.09.17-25b418f
GHSA-82wg-qcm4-fp2w	CVE-2026-22708	XVE-2026-0670	Cursor	2026-01-14	High	<= 2.2	2.3
GHSA-xg6w-rmh5-r77r	CVE-2025-61590	XVE-2025-36118	Cursor	2025-10-02	High	< 1.7	1.7
GHSA-xw2x-252g-97w2	CVE-2025-61589	XVE-2025-36081	Cursor	2025-10-02	Medium	<=1.6	1.7
GHSA-24mc-g4xr-4395	CVE-2025-54136	XVE-2025-29347	Cursor	2025-08-01	High	< 1.2.4	1.3
GHSA-4cxx-hrm3-49rm	CVE-2025-54135	XVE-2025-29425	Cursor	2025-08-02	High	<= 1.2.1	1.3.9
GHSA-r22h-5wp2-2wfv	CVE-2025-54133	XVE-2025-29346	Cursor	2025-08-01	Medium	1.17	1.3
GHSA-43wj-mwcc-x93p	CVE-2025-54132	XVE-2025-29349	Cursor	2025-08-01	Medium	<1.3	1.3
GHSA-534m-3w6r-8pqr	CVE-2025-54131	XVE-2025-29348	Cursor	2025-08-01	Medium	<1.3	1.3
GHSA-c43p-6fv2-6gr2	N/A	XVE-2025-29506	Cursor API	2025-06-19	Medium	< 2025-06-17	2025-06-17
GHSA-rjmc-526x-8653	N/A	XVE-2025-29505	Cursor API	2025-06-19	Medium	< 2025-06-17	2025-06-17
GHSA-9h3v-h59j-v6rj	CVE-2025-49150	XVE-2025-23218	Cursor	2025-06-11	Medium	<0.51.0	0.51.0
GHSA-vqv7-vq92-x87f	CVE-2025-54130	XVE-2025-29500	Cursor	2025-08-02	High	<1.3	1.3.9
GHSA-qjh8-mh96-fc86	CVE-2025-32018	XVE-2025-12996	Cursor	2025-04-07	High	0.45.0-0.48.6	0.48.7+
GHSA-g4ff-54cv-h6f9	N/A	XVE-2024-42959	Cursor API	2024-11-27	Low	< 2025-11-27	Nov 27+
GHSA-rmj9-23rg-gr67	CVE-2024-48919	XVE-2024-30588	Cursor	2024-10-22	High	<= 0.41.0	0.42
GHSA-x352-xv29-r74m	CVE-2024-45599	XVE-2024-28100	Cursor	2024-09-24	Low	< 0.41.0	0.41.0

OpenCode

GHSA

CVE

XVE

产品

公告

时间

官方

定级

影响

版本

修复

版本

GHSA-c83v-7274-4vgp

CVE-2026-22813

XVE-2026-0429

Opencode

2026-01-12

Critical

<1.1.10

1.1.10

GHSA-vxw4-wv6m-9hhh

CVE-2026-22812

XVE-2026-0428

Opencode

2026-01-12

High

< 1.0.216

1.0.216

Codex CLI

GHSA	CVE	XVE	产品	公告时间	官方定级	影响版本	修复版本
N/A	CVE-2025-55345	XVE-2025-30413	Codex CLI	2025-08-13	Medium	<0.12.0	0.12.0
GHSA-w5fx-fh39-j5rw	CVE-2025-59532	XVE-2025-34922	Codex CLI	2025-07-24	High	0.2.0-0.38.0	0.39.0
N/A	CVE-2025-54558	XVE-2025-28425	Codex CLI	2026-01-12	Low	<0.9.0	0.9.0

以上漏洞完整内容均可通过微步漏洞情报查询。

欢迎扫码联系

↓↓↓