← 返回博客
安全简报4 min read2026-04-30

安全简报,2026年4月30日:SAP npm 供应链后门、cPanel 认证绕过与 Linux Copy Fail root 漏洞

今天早上的主题很直接:一旦可信基础设施被下毒,攻击者根本不需要花哨技巧。


核心结论: 今天早上有三件事必须立刻关注:SAP 官方 npm 包被植入后门以窃取开发者和 CI 密钥,cPanel 与 WHM 发布了严重认证绕过的紧急补丁,而 Linux 维护者正在加速修复新的提权漏洞 Copy Fail。


1. SAP npm 事件直接瞄准开发者与 CI 密钥

与 Cloud Application Programming Model 和 Cloud MTA 相关的四个 SAP 官方 npm 包被加入了恶意 preinstall 链。根据 BleepingComputer、Aikido 和 Socket 的报道,载荷会下载 Bun、执行混淆窃密程序,并搜索 GitHub token、npm token、SSH 密钥、云凭证、Kubernetes 密钥以及 CI/CD 环境变量。更糟的是,它还会直接抓取 runner 内存,并尝试利用偷来的 token 自我传播。


2. cPanel 的紧急认证绕过补丁不是“有空再做”的维护

cPanel 与 WHM 针对 CVE-2026-41940 发布了紧急更新。这是一个 9.8 严重度的认证绕过漏洞,除最新受支持版本外,几乎所有构建都受影响。Namecheap 在补丁发布前就临时封锁了暴露的管理端口,这已经说明问题有多严重。攻击者一旦拿下 cPanel,就能控制网站、邮件、数据库和配置;若拿下 WHM,整个托管服务器及其所有租户都可能一起失守。


3. Copy Fail 为 Linux 攻击者提供了一条极其简单的事后 root 路径

The Register 报道称,新漏洞 Copy Fail(CVE-2026-31431)允许无特权本地用户向任意可读文件的页缓存写入四个可控字节,并借此拿到 root。PoC 极小,能绕开传统文件系统事件监控,而且影响远不止笔记本:共享内核容器、CI runner 和多租户 Linux 主机,正是这种本地提权在初始落点之后会变成真实外部风险的环境。

今天该做什么

先处理软件供应链,再关闭暴露的托管控制面,最后修补攻击者已可执行代码位置上的 Linux 权限边界。这里共同的失败点是:所有人都对本以为安全的基础设施盲目信任。

来源

  • BleepingComputer 关于 SAP 官方 npm 包被入侵的报道,以及 Aikido 和 Socket 的后续研究。
  • BleepingComputer 关于 cPanel/WHM CVE-2026-41940 和紧急更新指引。
  • The Register 关于 CVE-2026-31431“Copy Fail”的报道,并附 Debian、Ubuntu、SUSE、Red Hat 的补丁参考。