← 返回博客
Security Briefing4 min read2026-04-23

安全简报,2026年4月23日:Apple 通知漏洞、npm 蠕虫与 GoGra Graph API 后门

今天早上的威胁图景并不是某一个巨型零日,而是多个熟悉位置上的信任边界失效:手机、开发流水线,以及企业云身份体系。


Top line: 今天有三个关键信号:Apple 发布了针对通知残留数据的带外修复,npm 生态正在应对一种带有蠕虫特征的供应链攻击,而一款 Linux 后门正在滥用 Microsoft Graph 和 Outlook,把自身混进正常流量。


1. Apple 紧急修复“已删除通知数据并未真正消失”的问题

Apple 为 iPhone 和 iPad 发布了带外更新,修复 CVE-2026-28950。该漏洞会导致被标记为删除的通知仍然保留在设备上。这一点很关键,因为通知预览可能包含消息内容,即使用户认为应用本身的数据已经不存在。


2. 新的 npm 攻击不仅窃取密钥,还试图像蠕虫一样扩散

Socket 和 StepSecurity 的研究人员表示,来自 Namastex Labs 的受感染 npm 包会窃取发布令牌、API 密钥、SSH 密钥、云凭证以及浏览器钱包数据,然后尝试利用它能接触到的任何账户重新发布带毒包。这比普通的软件包入侵更糟,因为每一个暴露的维护者令牌都会变成新的传播起点。


3. GoGra 说明 Linux 恶意软件如何把指挥流量藏在正常业务流量里

Symantec 表示,GoGra 后门的 Linux 版本使用硬编码的 Azure AD 凭证、Microsoft Graph API 以及 Outlook 邮箱文件夹来接收加密命令并回传加密结果。这意味着它不是连接某个明显可疑的域名,而是把命令控制混入防守方通常默认信任的云服务中。


安全团队今天该做什么

  1. 尽快为 Apple 设备打补丁,并收紧高风险 iPhone 与 iPad 的通知预览设置。
  2. 排查列出的恶意 npm 版本,移除它们,并轮换 CI、云、注册表和开发者笔记本中所有可能暴露的秘密。
  3. 检查 Microsoft Graph、OAuth 和邮箱遥测,关注那些在运营上显得异常的行为,而不只是明显恶意的信号。
  4. 把这三条新闻当成一个共同教训:信任会在后台系统中层层堆积,而攻击者正是利用防守方遗忘这一点来获利。

来源


Bottom line: 结论很简单:今天的共同主线是“隐藏的保留”和“隐藏的信任”。你以为已经删除的数据可能还在,看似例行的软件包可能正在传播入侵,而看似正常的云流量可能承载着攻击者的命令。

在攻击者之前找出那些安静的信任断点

KENSAI 帮助团队发现身份、云、开发工具链和互联网暴露系统中的攻击路径,在小型信任裂缝演变成真实事件之前把它们揪出来。

免费扫描 →

保持警惕。

🗡️ KENSAI 安全团队