今天早上的主题很直接:一旦可信基础设施被下毒,攻击者根本不需要花哨技巧。
核心结论: 今天早上有三件事必须立刻关注:SAP 官方 npm 包被植入后门以窃取开发者和 CI 密钥,cPanel 与 WHM 发布了严重认证绕过的紧急补丁,而 Linux 维护者正在加速修复新的提权漏洞 Copy Fail。
与 Cloud Application Programming Model 和 Cloud MTA 相关的四个 SAP 官方 npm 包被加入了恶意 preinstall 链。根据 BleepingComputer、Aikido 和 Socket 的报道,载荷会下载 Bun、执行混淆窃密程序,并搜索 GitHub token、npm token、SSH 密钥、云凭证、Kubernetes 密钥以及 CI/CD 环境变量。更糟的是,它还会直接抓取 runner 内存,并尝试利用偷来的 token 自我传播。
cPanel 与 WHM 针对 CVE-2026-41940 发布了紧急更新。这是一个 9.8 严重度的认证绕过漏洞,除最新受支持版本外,几乎所有构建都受影响。Namecheap 在补丁发布前就临时封锁了暴露的管理端口,这已经说明问题有多严重。攻击者一旦拿下 cPanel,就能控制网站、邮件、数据库和配置;若拿下 WHM,整个托管服务器及其所有租户都可能一起失守。
The Register 报道称,新漏洞 Copy Fail(CVE-2026-31431)允许无特权本地用户向任意可读文件的页缓存写入四个可控字节,并借此拿到 root。PoC 极小,能绕开传统文件系统事件监控,而且影响远不止笔记本:共享内核容器、CI runner 和多租户 Linux 主机,正是这种本地提权在初始落点之后会变成真实外部风险的环境。
先处理软件供应链,再关闭暴露的托管控制面,最后修补攻击者已可执行代码位置上的 Linux 权限边界。这里共同的失败点是:所有人都对本以为安全的基础设施盲目信任。