今天的信号很直接:社交工程更有耐心,会话盗取更安静,而从登录套件到代码签名再到 TLS 库的信任锚点正在同时承压。
Top line: 一次大型钓鱼工具包打击行动,一条朝鲜社交工程投递链,OpenAI 的一次供应链止损动作,一个更隐蔽的信息窃取模型,以及一个深度影响嵌入式生态的证书校验漏洞。
FBI 与印尼警方联手打掉了 W3LL 行动,查封基础设施并拘留了涉嫌开发者。报道称,该工具包在 2023 到 2024 年间攻击了超过 17,000 名受害者,并支撑了超过 2,000 万美元的欺诈尝试,核心手法是通过 adversary-in-the-middle 流程窃取 Microsoft 365 凭据和会话 Cookie。
研究人员将 APT37 关联到一条使用假 Facebook 账号、Messenger 对话和 Telegram 跟进的攻击链,目的是诱使目标安装被植入木马的 PDF 阅读器。该链路最终投递 RokRAT,滥用被攻陷的合法网站进行 C2,并把后续载荷伪装在图片文件中。
OpenAI 表示,其 macOS 签名流程中的一个 GitHub Actions workflow 下载了被投毒的 Axios 版本。虽然没有发现数据泄露或证书被盗的证据,公司仍然撤销并轮换了证书;在 2026 年 5 月 8 日之后,旧版应用将失去更新支持和 macOS 默认信任。
BleepingComputer 报道称,Storm 会窃取浏览器数据库、Cookie、钱包数据与令牌,然后在攻击者控制的基础设施上完成解密和会话恢复,而不是在本地执行。这正好绕开了防守方熟悉的一类终端侧信号。
CVE-2026-5194 会削弱 wolfSSL 的证书校验,因为多个签名算法会接受过小的摘要。wolfSSL 广泛存在于数十亿级应用和设备,尤其是嵌入式、IoT、工业与各类 appliance 环境,所以这绝不只是 Web 服务器问题。
本简报跟踪的来源:2026 年 4 月 13 日发布的 The Hacker News 与 BleepingComputer 报道,以及其中引用的厂商和研究人员通告。
保持锋利。
🗡️ KENSAI Security Team