← 返回博客
安全简报5 分钟阅读2026-05-06

安全简报|2026年5月6日:Quasar Linux、DAEMON Tools 供应链、Instructure 余波与 CloudZ OTP 窃取

今天早上的共同主题是“信任被滥用”:开发者工作站、签名安装包、SaaS 数据导出以及桌面到手机的同步桥接,都在团队默认相信熟悉工具安全无害时变成了攻击路径。


一句话总结:优先排查开发者凭证被盗,隔离所有安装了 DAEMON Tools 的 Windows 主机,要求教育 SaaS 厂商提供租户级证据,并停止在终端已被攻陷时继续把短信 OTP 当作可靠控制。


1. Quasar Linux 正把开发环境变成供应链攻击发射台

Trend Micro 表示,之前未公开的 QLNX 植入体专门针对围绕 npm、PyPI、GitHub、AWS、Docker 和 Kubernetes 的开发与 DevOps 环境,目标是长期隐蔽驻留。该恶意程序会在目标主机上动态编译 rootkit 与 PAM 后门组件,以无文件方式运行、擦除痕迹,并窃取最接近软件交付链路的关键凭证。


2. DAEMON Tools 事件再次证明:来自官网的签名软件也不能盲信

Kaspersky 发现,DAEMON Tools 的 Windows 安装包自 4 月 8 日起在官方站点上被投毒,而且仍然带有厂商真实数字签名。受污染的交付链会投放主机画像组件和能够执行命令、以内存方式加载载荷的后门;虽然感染尝试很多,但后续阶段明显带有选择性投递特征。


3. Instructure 事件正在变成租户级数据治理问题

BleepingComputer 报道称,Instructure 事件背后的攻击者声称窃取了与 8,809 所学校、大学和教育平台相关的 2.8 亿条记录。虽然这一说法尚未被完全独立验证,但规模本身已经足以触发客户侧审查,尤其因为其宣称使用的是合法的 Canvas 导出和 API 功能,而不是显而易见的服务破坏。


4. CloudZ 说明:一旦终端控制了桥接,同步链路就会击穿短信 OTP

Cisco Talos 表示,CloudZ 的新插件 Pheno 会在受感染的 Windows 主机上滥用 Microsoft Phone Link,从而窃取短信和身份验证器通知。如果桌面端已经拥有访问消息数据库和通知的同步路径,攻击者就不必完全控制手机本体。


安全团队今天应该做什么

  1. 先审计开发者终端和靠近 CI 的 Linux 系统;影响半径远不止一台工作站。
  2. 全面排查 Windows 资产中的 DAEMON Tools 暴露面;一旦厂商签名链受损,任何“可信安装包”都应按事件处理。
  3. 要求教育与 SaaS 厂商提供租户级证据,而不是笼统事件话术,尤其针对导出和 API 访问。
  4. 降低对短信 OTP 的依赖,并把桌面到移动端的同步工具纳入身份威胁建模。

来源


结论:今天的风险不只是少见的零日,而是那些悄悄继承了过度信任的熟悉系统。正确动作是在攻击者同时兑现软件路径、身份路径和同步路径之前,先把这三条路逐一验证清楚。

先找出攻击者最可能滥用的信任路径

KENSAI 帮助团队识别暴露的开发系统、高风险依赖、薄弱身份流以及隐藏的同步面,在日常工具变成入侵通道之前抢先处置。

开始免费扫描 →

保持警觉。

🗡️ KENSAI Security Team