← 返回博客
Security Briefing3 分钟阅读2026-04-19

安全简报,2026年4月19日:protobuf.js 远程代码执行、Mirai Nexcorium 与 Operation PowerOFF

今天的安全简报聚焦三个明确信号:带公开 PoC 的 protobuf.js 严重代码执行缺陷、针对 TBK DVR 和老旧路由器的 Mirai 攻击,以及对 DDoS-for-hire 生态的全球打击。


Top line: 今天早上的风险集中在三个层面。一条新闻打到软件供应链,一条打到长期失管的边缘设备,另一条则说明执法部门正在持续挤压低门槛 DDoS 市场。安全团队应把依赖修补、IoT 遏制和滥用监控拆成三条独立工作线。


1. protobuf.js 已进入紧急依赖修补队列

被跟踪为 GHSA-xq3m-2v4x-88gg 的 protobuf.js 严重漏洞,在应用加载受攻击者影响的 schema 时,可能导致远程代码执行。Endor Labs 认为利用并不复杂,因为不安全的动态代码生成允许恶意标识符把代码注入到生成函数中。这个库深埋在大量 JavaScript 技术栈中,每周 npm 下载量大约 5000 万次。


2. Mirai 运营者仍在收割老旧 IoT 设备

Fortinet 表示,Mirai 变种 Nexcorium 正在利用 TBK DVR 设备中的 CVE-2024-3721,并结合暴力破解以及更早的华为漏洞逻辑扩散。Palo Alto Networks 还观察到针对寿终正寝的 TP-Link 路由器的尝试。教训并不新鲜:一旦补丁和凭证卫生失守,暴露在互联网上的旧设备就会变成廉价 botnet 库存。


3. Operation PowerOFF 提高了 DDoS-for-hire 的使用成本

在 Europol 支持下,Operation PowerOFF 查封了 53 个域名,获取了与 300 多万个犯罪账户相关的数据库,并打击了被 7.5 万多名客户使用的服务。关键防御信号不是 DDoS 消失了,而是 booter 基础设施承压上升,这可能带来迁移、报复或短期噪声。


安全团队今天该做什么

  1. 优先修补面向互联网或多租户 JavaScript 服务中的 protobuf.js 暴露。
  2. 拉出一份仍可通过弱口令或 Telnet 访问的 DVR、路由器和设备清单。
  3. 与网络和 SOC 团队确认,PowerOFF 之后 DDoS 监控阈值是否需要临时调优。
  4. 给管理层发一份直白说明:依赖风险、IoT 僵尸网络风险和 DDoS 市场波动是三类不同问题,需要不同负责人。

Bottom line: 结论:今天的威胁图景同时是技术栈问题、边缘设备问题,也是黑灰产市场问题。补库、清设备,不要把“打掉平台”误解为“网络会安静下来”。

把紧急修补和噪声干扰区分开

KENSAI 帮助安全团队验证暴露依赖、薄弱边缘设备和正在上升的滥用压力,避免下一轮告警风暴演变成真实损失。

开始免费扫描 →

保持警觉。

🗡️ KENSAI Security Team