🛡️ 每日安全研究简报
🔴 供应链攻击
Axios npm 包遭入侵——部署跨平台 RAT
严重 供应链 npm RATAxios HTTP 客户端(每周下载量超过 1 亿次)遭受了有针对性的供应链攻击。攻击者入侵了维护者 Jason Saayman 的 npm 账户,发布了恶意版本 1.14.1 和 0.30.4,注入了伪造依赖 plain-crypto-js,向 Windows、macOS 和 Linux 投放平台特定的 RAT。
- 恶意依赖提前 18 小时进行部署——这是有预谋的行动
- RAT 支持 shell 命令执行、目录枚举和 base64 编码的二进制载荷
- 投放器自毁并用干净副本替换 package.json 以阻碍取证
- 发布时未使用 OIDC 包来源验证,无匹配的 GitHub 提交记录
应对措施:立即检查锁文件中是否存在 axios@1.14.1 或 axios@0.30.4。锁定至已知安全版本。审计 CI/CD 中是否存在异常依赖变更。
Cisco 因 Trivy 供应链攻击遭入侵——源代码被窃
严重 供应链 数据泄露 TeamPCPCisco 的内部开发环境因 Trivy 漏洞扫描器供应链攻击中被窃取的凭据而遭到入侵。威胁行为者克隆了 300 多个 GitHub 仓库,包括 AI Assistants、AI Defense 及未发布产品的源代码。
- 多个 AWS 密钥被窃取并用于对 Cisco AWS 账户的未授权活动
- 被窃仓库包含银行、业务流程外包商和美国政府机构的代码
- 涉及多个威胁行为者,活跃程度各异
- 攻击归因于 TeamPCP 威胁组织——与 Trivy、LiteLLM 和 Checkmarx 入侵事件为同一组织
- Cisco 已隔离受影响系统并开始轮换凭据
🎯 活跃利用与零日漏洞
TrueConf 零日漏洞(CVE-2026-3502)被用于攻击东南亚政府机构
高危 — CVSS 7.8 零日漏洞 APT 中国关联TrueConf 视频会议客户端中的零日漏洞在名为 TrueChaos 的攻击行动中被实际利用,目标为东南亚政府实体。该漏洞允许控制本地 TrueConf 服务器的攻击者向所有连接的终端分发篡改的更新。
- 通过 DLL 侧加载部署 Havoc C2 框架
- 以中等置信度归因于中国关联威胁行为者
- 使用阿里云和腾讯云基础设施作为 C2 服务器
- 同一批受害者在同一时间段内还遭受了 ShadowPad 攻击
- 已在 TrueConf Windows 客户端 8.5.3 版本中修复
Citrix NetScaler 严重漏洞(CVE-2026-3055)正被积极利用
严重 — CVSS 9.3 活跃利用 CitrixCitrix NetScaler ADC 和 NetScaler Gateway 中的严重漏洞自 3 月 27 日起正被积极利用。该漏洞涉及输入验证不足导致的内存越界读取,可能泄露敏感信息。利用条件为设备配置为 SAML 身份提供商。
应对措施:立即修补。检查 SAML IDP 配置是否存在入侵指标。
Fortinet FortiClient EMS SQL 注入——利用活动已开始
严重 活跃利用 FortinetFortinet FortiClient EMS 中的严重 SQL 注入漏洞允许未经身份验证的攻击者通过构造的 HTTP 请求远程执行任意代码。已观察到在野利用活动。
🔬 漏洞与 CVE
Claude AI 发现 Vim 和 Emacs 中的 RCE 漏洞
高危 RCE AI 发现 Vim Emacs研究人员 Hung Nguyen 利用 Claude 发现了 Vim 和 GNU Emacs 中仅通过打开文件即可触发的 RCE 漏洞。
- Vim:Modeline 处理绕过允许沙箱逃逸和任意命令执行。影响所有 ≤9.2.0271 版本。已在 9.2.0272 版本中修复。
- Emacs:vc-git 集成读取攻击者控制的
.git/config并执行core.fsmonitor程序。Emacs 维护者认为这是 Git 的责任——未修复。
GIGABYTE Control Center——任意文件写入漏洞
高危 任意写入 GIGABYTEGIGABYTE Control Center 存在任意文件写入漏洞,允许远程未经身份验证的攻击者访问受影响主机上的文件。
StrongSwan 整数下溢——VPN 崩溃(影响 15 年版本)
高危 VPN 拒绝服务StrongSwan 中一个可远程利用的整数下溢漏洞允许未经身份验证的攻击者使 VPN 连接崩溃。该漏洞横跨 15 年的发布版本。
Vertex AI 权限模型滥用——Google Cloud 数据暴露
高危 云安全 Google AIPalo Alto Unit 42 披露了 Google Cloud Vertex AI 平台中的安全盲区,AI 代理可被武器化以获取敏感数据的未授权访问权限,并通过权限模型滥用来入侵云环境。
CrewAI 漏洞——通过提示注入实现沙箱逃逸
高危 AI 代理 沙箱逃逸CrewAI 框架中的漏洞允许攻击者利用提示注入将多个漏洞串联起来,逃逸沙箱并在宿主设备上执行任意代码。
OpenAI Codex / ChatGPT 漏洞已修复
高危 OpenAI 数据泄露OpenAI 修复了两个漏洞:一个 ChatGPT 数据泄露漏洞允许通过单个恶意提示隐蔽提取对话数据,以及一个 Codex 漏洞可导致 GitHub 令牌泄露。
📊 数据泄露与安全事件
Lloyds Banking Group——45 万用户交易数据暴露
高危 数据泄露 银行Lloyds Banking Group 的一次错误软件更新导致手机银行用户的交易数据暴露给其他应用用户,约影响 45 万人。
Anthropic Claude Code 源代码泄露
中等 泄露 AIAnthropic 通过 npm 包意外泄露了 Claude Code(闭源产品)的源代码。该公司表示没有客户数据或凭据暴露。
🦠 恶意软件与威胁行为者
Silver Fox / AtlasCross RAT 攻击行动——亚洲范围域名仿冒
APT RAT 域名仿冒中国网络犯罪组织 Silver Fox 正在进行一场活跃的攻击行动,使用 11 个以上仿冒域名伪装为 Surfshark VPN、Signal、Telegram、Zoom、Microsoft Teams 等,投放新发现的 AtlasCross RAT。这代表了其从早期 Gh0st RAT 衍生版本的演进。
Venom Stealer——持续凭据窃取
信息窃取 恶意软件即服务Venom Stealer 是一款具有内置持久化和自动化功能的授权恶意软件即服务,使攻击者能够从被入侵系统中持续窃取凭据、会话数据和加密货币资产。
TeamPCP 从开源软件转向 AWS 环境
云安全 AWS 横向移动在使用 TruffleHog 验证被窃凭据后,TeamPCP 黑客组织已被观察到开始进行 AWS 服务枚举和横向移动活动——从开源供应链攻击扩展至云基础设施入侵。
📡 新兴趋势
AI 代理安全成为关键关注点
本周期多篇报道凸显了 AI 代理不断扩大的攻击面:
- CrewAI 沙箱逃逸——通过提示注入链
- Vertex AI 权限滥用——获取云数据访问权限
- OpenAI Codex GitHub 令牌泄露
- LLM 悄然突破访问控制——编写的 Rego/Cedar 策略缺少必要条件
- 业界日益达成共识:AI 代理需要零信任验证,而非隐式信任
供应链攻击工业化
TeamPCP 组织同时入侵 Trivy、LiteLLM、Checkmarx 以及 Axios 表明供应链攻击正在被大规模工业化。关键模式:入侵维护者账户 → 注入依赖 → 窃取 CI/CD 凭据 → 转向云基础设施。
量子计算威胁加速
Google 研究人员证明,破解比特币和以太坊加密所需的量子比特数比此前估计减少了 20 倍。虽然尚不具有即时实用性,但这显著加速了后量子密码学迁移的紧迫时间线。
🛠️ 工具与发布
Proton Meet——注重隐私的视频会议平台
Proton 推出了 Meet,一个注重隐私的视频会议平台,定位为 Google Meet、Zoom 和 Microsoft Teams 的替代方案。默认启用端到端加密。