🛡️ 安全研究简报
摘要: 伊朗关联黑客入侵了FBI局长的个人邮箱,并对Stryker发动了擦除攻击。Citrix NetScaler(CVSS 9.3)和F5 BIG-IP的严重CVE正在被积极利用。TeamPCP发起的大规模供应链攻击通过WAV文件中的隐写术侵害了Telnyx PyPI包。中国的Red Menshen被发现深入潜伏在电信骨干基础设施中。欧盟委员会正在调查AWS账户被入侵事件。多个iOS漏洞利用工具包正在流通——Apple已开始向旧设备发送锁屏警告。
🔓 数据泄露与安全事件
FBI局长卡什·帕特尔个人邮箱被伊朗关联组织入侵
严重国家级威胁亲伊朗的Handala Hack Team成功入侵了FBI局长卡什·帕特尔的个人邮箱账户。该组织在线泄露了照片和文件。此外,他们还声称对国防/医疗科技巨头Stryker发动了擦除攻击。
🚨 严重漏洞
CVE-2026-3055 — Citrix NetScaler 内存越界读取 (CVSS 9.3)
严重活跃侦察Citrix NetScaler ADC和Gateway中的严重内存越界读取漏洞正在被积极侦察。不充分的输入验证使攻击者能够从内存中泄露敏感信息。补丁已发布——请立即应用。
CVE-2025-53521 — F5 BIG-IP APM RCE 被加入CISA KEV (CVSS 9.3)
严重活跃利用CISA将此F5 BIG-IP Access Policy Manager RCE漏洞加入已知被利用漏洞(KEV)目录。已确认在野外被活跃利用。请立即修补。
CVE-2026-4681 — PTC Windchill严重漏洞(德国警方出动)
严重ICS/OTCISA标记了PTC Windchill的严重漏洞,严重程度之高以至于德国警方亲自上门警告相关组织。工业/制造环境面临风险。
LangChain和LangGraph漏洞导致文件、密钥、数据库泄露
高危AI/ML广泛使用的AI框架LangChain和LangGraph(每周下载量超5200万次)中发现三个漏洞,通过独立的攻击路径暴露文件系统数据、环境密钥和对话历史。
🎯 威胁行为体与攻击活动
中国关联的Red Menshen潜伏在电信骨干网中
APT中国严重Rapid7发现中国国家支持的组织Red Menshen(Earth Bluecrow / DecisiveArchitect)使用BPFDoor内核植入体、被动后门和跨平台命令框架,在电信网络内维持长期隐蔽访问——被描述为电信领域发现的"最隐蔽的数字潜伏细胞"。目标:中东和亚洲电信运营商。
俄罗斯TA446通过鱼叉式钓鱼部署DarkSword iOS漏洞利用工具包
APT俄罗斯俄罗斯国家支持的组织TA446(Callisto)正通过定向邮件活动利用DarkSword漏洞利用工具包攻击iOS设备。另外,Coruna iOS漏洞利用工具包似乎是2023年Operation Triangulation内核漏洞利用的更新版本。
AitM钓鱼攻击活动瞄准TikTok商业账户
钓鱼攻击社交媒体使用Cloudflare Turnstile规避技术的中间人(AitM)钓鱼页面被用于劫持TikTok商业账户。被入侵的账户随后被用于恶意广告投放和恶意软件分发。
Infinity Stealer — 通过ClickFix传播的新型macOS信息窃取恶意软件
恶意软件MACOS一款针对macOS的新型信息窃取恶意软件使用Cloudflare主题的虚假CAPTCHA页面、Bash脚本、Nuitka编译的加载器和基于Python的载荷。通过ClickFix社会工程诱饵进行分发。
GitHub上的虚假VS Code安全警告传播恶意软件
供应链开发者大规模攻击活动在GitHub Discussions版块发布虚假的VS Code安全警告,诱骗开发者下载恶意软件。另外,Open VSX的漏洞允许恶意VS Code扩展绕过发布前扫描。
📦 供应链攻击
TeamPCP入侵Telnyx PyPI包——窃取程序隐藏在WAV文件中
供应链严重威胁行为体TeamPCP(此前曾入侵Trivy、KICS和litellm)将恶意Telnyx版本4.87.1和4.87.2推送至PyPI。攻击使用三阶段链式手法:通过音频隐写术(将凭据隐藏在WAV文件中)进行投递、内存中执行、然后数据窃取。目标覆盖Windows、Linux和macOS。请立即降级至4.87.0。PyPI项目已被隔离。
🔧 安全工具与公告
Apple向旧版iOS设备发送锁屏警告
防御移动端Apple正在向使用旧版iOS/iPadOS的iPhone和iPad推送锁屏通知,警告用户存在活跃的基于Web的漏洞利用,敦促立即更新。
Windows 11 KB5079391 — Smart App Control功能改进
防御WINDOWSMicrosoft发布了Windows 11 24H2/25H2预览更新,包含29项更改,其中包括Smart App Control安全功能的改进。
📊 新兴趋势
本周关键趋势
1. iOS遭受围攻: 多个iOS漏洞利用工具包同时活跃——DarkSword(俄罗斯/TA446)、Coruna(Operation Triangulation后续版本),加上活跃的基于Web的漏洞利用促使Apple发出前所未有的锁屏警告。iOS已不再是"安全"的移动平台。
2. 供应链隐写术: TeamPCP在PyPI包中使用WAV音频隐写术隐藏凭据窃取程序,标志着供应链攻击复杂度的演进。预计将出现更多基于媒体文件的载荷隐藏技术。
3. 开发者工具成为攻击面: VS Code、Open VSX、GitHub Discussions、PyPI——开发者生态系统正在被系统性地攻击。虚假安全警告和绕过扫描管线表明攻击者深谙开发者的信任模型。
4. 国家级电信持久化渗透: Red Menshen在电信骨干基础设施中植入的BPFDoor被描述为"数字潜伏细胞",凸显了中国在通信基础设施中间谍活动的深度。
5. 网络设备CVE激增: Citrix NetScaler、F5 BIG-IP、TP-Link路由器和Cisco IOS的严重CVE在同一周期爆发。网络边界设备仍然是排名第一的初始访问向量。