HackerNews

一款此前未被记录的名为 Quasar Linux（QLNX）的 Linux 植入程序，正瞄准开发人员的系统，兼具 rootkit（根木马）、后门和窃取凭证等功能。   该恶意软件套件部署在 npm、PyPI、GitHub、AWS、Docker 和 Kubernetes 等开发及 DevOps 环境中。这可能引发供应链攻击，威胁行为者可借此在代码分发平台上发布恶意软件包。   网...

Cyera 警告称，约 30 万个 Ollama 部署因一个可远程利用、无需身份验证的严重漏洞，易面临敏感信息失窃风险。   Ollama 是一款用于在本地机器上运行大语言模型（LLMs）的开源解决方案，作为一种自托管的人工智能推理引擎，在各组织中广受欢迎。   Cyera 表示，Ollama 中的一个堆越界读取问题，可被利用来访问存储在堆中的敏感信息，包括提示词、消息以及环境...

网络安全公司趋势科技（Trellix）表示，其部分源代码库近期遭入侵，但几乎未透露该事件的其他信息。   趋势科技称，公司一直在与法医专家合作调查此次入侵事件，并已通知执法部门。   趋势科技在一份声明中表示：“根据我们目前的调查，没有证据表明我们的源代码发布或分发过程受到影响，或者我们的源代码已被利用。”   该安全公司承诺在完成调查后分享更...

Meta 旗下的 WhatsApp 发布了两份新的安全公告，介绍了今年早些时候在这款热门即时通讯应用中修复的漏洞。   其中一个漏洞编号为 CVE - 2026 - 23863，是一个中度影响的附件伪装问题，影响 WhatsApp Windows 版 2.3000.1032164386.258709 之前的版本。   WhatsApp 的公告解释称，攻击者本可利用此漏洞创建一个...

一个严重漏洞影响了除最新版本之外的所有 cPanel 及 WebHost Manager（WHM）控制面板版本，该漏洞可被利用来在无需认证的情况下访问控制面板。   此安全问题目前编号为 CVE - 2026 - 41940，严重程度评分达 9.8。官方已发布紧急更新，不过需手动运行一条命令来获取软件的补丁版本。   WHM 和 cPanel 归 WebPros Interna...

网络安全研究人员在一个 npm 软件包中发现了恶意代码，该恶意软件包作为依赖项被引入到由 Anthropic 公司的 Claude Opus 大语言模型（LLM）参与的项目中。   这个被质疑的软件包是 “@validate - sdk/v2”，在 npm 上它被列为一个用于哈希运算、验证、编码 / 解码以及安全随机数生成的实用软件开发工具包（SDK）。然而，其真...

Forescout 的研究显示，数百万远程访问的 RDP 和 VNC 服务器暴露在互联网上，其中数百台可能提供对工业控制系统（ICS）和其他运营技术（OT）的访问。   RDP（远程桌面协议）和 VNC（虚拟网络计算）广泛用于远程访问，但若无安全网关，不应将它们直接暴露在开放的互联网中。   Shodan 搜索表明，约有 180 万个 RDP 服务器和 160 万个 VNC 服...

近日，应用安全公司 Aisle 在开源电子病历平台 OpenEMR 中发现了数十个漏洞，其中包括一些可被利用来窃取敏感患者信息的严重问题。   OpenEMR 在全球范围内被超 10 万名医疗服务提供者使用，存储着超 2 亿患者的数据。Aisle 对其进行了分析，该公司的自动分析工具识别出 39 个问题，其中 38 个已被分配 CVE 标识符。   此次研究是 OpenEMR ...

多个官方 SAP npm 软件包疑似遭 TeamPCP 供应链攻击，被入侵后用于窃取开发者系统中的凭证和身份验证令牌。   安全研究人员报告称，此次入侵影响了四个软件包，目前这些版本在 NPM 上已标记为弃用： @cap-js/sqlite – v2.2.2 @cap-js/postgres – v2.2.2 @cap-js/db-service – ...

“快速页面 / 文章重定向”（Quick Page/Post Redirect）插件安装量超 7 万，5 年前被植入后门，可向用户网站注入任意代码。   该恶意软件由 WordPress 托管服务提供商 Anchor 的创始人奥斯汀・金德（Austin Ginder）发现。他旗下有 12 个受感染站点触发安全警报后，他展开调查并发现了这一情况。   &l...

HackerNews 编译，转载请注明出处： 一个源自巴西的网络犯罪团伙在沉寂三年多后卷土重来，策划了一场针对 Minecraft 玩家的活动，使用名为 LofyStealer（又名 GrabBot）的新型窃取器。 巴西网络安全公司 ZenoX 在一份技术报告中表示：“该恶意软件伪装成一个名为‘Slinky’的 Minecraft 外挂。它使用官方游戏...

HackerNews 编译，转载请注明出处： 疑似俄罗斯通过 Signal 发起的钓鱼攻击 targeting 德国官员，利用信任获取账户访问权限及敏感政治通信内容。 新一轮针对欧洲政治领导层的网络行动再次凸显：现代间谍活动越来越依赖欺骗手段，而非技术漏洞。德国当局最近的调查指出，这是一场通过 Signal 消息平台开展的大规模钓鱼活动，且有强烈迹象表明俄罗斯参与其中。 据多方报道 [1, 2, ...

HackerNews 编译，转载请注明出处： 知名研究员Haifei Li发现一份疑似利用未修补Adobe Reader零日漏洞的PDF文件，正寻求网络安全社区协助调查这一复杂的PDF利用程序。 Haifei Li是资深安全研究员，过去二十年曾在Fortinet、微软、McAfee和Check Point任职，也是基于沙盒的零日漏洞检测系统Expmon的创始人兼开发者。 Expmon检测到这一新型Reader利用程序，分析显示该PDF“作为初始利用程序，具备收集和泄露各类信息的能力，可能随后执行远程代码执行（RCE）和沙箱逃逸（SBX）利用”。 研究员认为该PDF利用零日漏洞，因为攻击已确认对最新版Adobe Reader有效。 虽然Li确认已识别的利用程序会从受入侵系统收集用户及其他数据，但未能复现完整攻击链，获取可能用于沙箱逃逸或远程代码执行的额外载荷。 SecurityWeek已联系Adobe，但考虑到公司仅在4月7日左右收到利用详情，评估可能需要一定时间。 针对该潜在零日的利用程序已提交至Expmon和VirusTotal。VirusTotal上识别的一份样本于2025年11月提交，表明该漏洞至少已被利用4个月。 一位审查该利用程序的威胁情报分析师指出，恶意PDF包含俄语诱饵，并提及俄罗斯油气行业的时事。 Adobe近年来多次致谢Li报告Reader和Acrobat漏洞，包括关键代码执行缺陷。然而，对于2024年发现的Reader漏洞CVE-2024-41869，在Li报告发现明显试图武器化该漏洞的PDF后，Adobe未确认野外利用。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： RSAC研究人员发现一种高成功率绕过苹果Apple Intelligence AI安全协议的方法。 Apple Intelligence是深度集成于iOS、iPadOS和macOS的个人智能系统，结合生成式AI与个人上下文。它主要通过紧凑的端侧大语言模型在苹果芯片上直接处理任务，利用用户独特上下文（消息、照片和日程）为系统级写作工具和Siri等功能提供支持。对于更复杂的推理，它通过私有云计算将请求卸载至苹果专用云基础设施上的更大基础模型。 RSAC研究团队对Apple Intelligence进行了安全审查，试图绕过端侧大语言模型的输入输出过滤器（用于阻止恶意输入和防止不良输出）及内部防护栏以影响其行为。 为此，他们结合两种对抗技术。第一种是Neural Execs——一种已知的提示注入攻击，使用”乱码”输入欺骗AI执行攻击者定义的任意任务，这些输入作为通用触发器无需针对不同载荷重新制作。 第二种方法是Unicode操纵。研究人员通过将恶意输出文本反向书写并使用Unicode从右至左覆盖功能，成功绕过内容限制。”本质上，我们将恶意/冒犯性英文输出文本反向编码，使用Unicode技巧强制大语言模型正确渲染，”研究人员解释。 结合两种方法可使攻击者强制端侧Apple Intelligence大语言模型生成冒犯性内容，或更关键地，操纵与Apple Intelligence集成的第三方应用中的私有数据和功能，如健康数据或个人媒体。 该攻击经100个随机提示测试，成功率达76%。研究人员估计，10万至100万用户已安装可能易受此类攻击的应用。 “RSAC估计，截至2025年12月，消费者手中已有至少2亿台支持Apple Intelligence的设备，苹果应用商店已出现使用Apple Intelligence的应用——因此它已成为高价值目标，”研究人员指出。 苹果于2025年10月接到通知，据RSAC研究，防护措施已在近期iOS 26.4和macOS 26.4中推出。研究人员尚未发现恶意利用的证据。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 欧洲铁路旅行公司Eurail正在通知超过30万人，其个人信息在2025年12月的数据泄露事件中被盗。 该事件最初于1月披露，当时公司警告称可能持有Eurail通票的客户受到影响。黑客入侵这家荷兰公司的网络后，窃取了包含基本身份和联系信息的文件。 2月，一名黑客在明网网络犯罪网站上吹嘘从Eurail的AWS S3、Zendesk和GitLab实例窃取约1.3TB数据，包括源代码、支持工单和数据库备份。黑客声称窃取了数百万Eurail/Interrail客户的个人信息，与旅行公司的谈判已失败。 3月初，Eurail确认黑客一直在暗网出售被盗数据，并在其Telegram频道发布了样本数据集。公司还表示不存储银行或信用卡信息，也不存储护照视觉副本。 上周，Eurail向多个美国州检察长办公室提交泄露通知，披露攻击中姓名和护照号码被盗。公司告诉俄勒冈州检察长办公室，数据泄露仅影响308,777人，正在向可能受影响个人发送书面通知。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 荷兰医疗软件供应商ChipSoft遭受勒索软件攻击，被迫下线其面向患者和医疗机构的网站及数字服务。 ChipSoft是荷兰大型电子健康记录（EHR）系统供应商，其旗舰平台HiX被众多荷兰医院使用。 本周早些时候，Reddit用户报道称这家医疗行业数字解决方案开发商遭遇网络安全事件。当地媒体证实，ChipSoft向医疗机构发布的内部备忘录显示公司遭网络攻击，警告”可能存在未授权访问”。 据报道，该IT服务提供商向医疗中心运营商保证正在采取一切措施”尽可能限制不利影响”，同时建议他们在清理完成前断开与其系统的连接。 昨日，荷兰医疗网络安全计算机应急响应小组（Z-CERT）宣布ChipSoft遭受勒索软件事件影响。该机构表示正与公司及医疗机构合作，识别影响并协助恢复。 作为预防措施，ChipSoft禁用了所有与其Zorgportaal、HiX Mobile和Zorgplatform数字医疗服务的连接。 虽然荷兰部分媒体称大多数面向患者的系统正常运行，但也有多份报告称各医院相同系统无法使用。已确认的系统中断报告涉及Weert的Sint Jans Gasthuis、Roermond的Laurentius、Venlo的VieCuri医院以及Almere的Flevo医院。 BleepingComputer已联系ChipSoft询问事件详情，但截至发稿未获回复。 针对医疗IT系统提供商的网络攻击对威胁行为体极具破坏性和牟利性，因为这些公司运营多个医疗中心的信息枢纽，管理大量敏感数据。 上月，医疗IT公司CareCloud披露数据泄露事件，暴露敏感数据并导致数小时服务中断。2026年3月初，Cognizant的医疗IT公司TriZetto Provider Solutions遭受数据泄露，超过340万人的敏感信息外泄。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 运营全球最大比特币ATM网络之一的Bitcoin Depot披露，上月系统遭入侵后，攻击者从其加密钱包窃取价值366.5万美元的比特币。 该公司管理着全球超过2.5万台比特币ATM和BDCheckout网点，2025年营收达6.15亿美元。 据美国证券交易委员会文件披露，公司于3月23日发现攻击，此前检测到部分IT系统存在可疑活动。 虽然公司立即采取措施控制入侵，但攻击者仍有时间窃取数字资产结算账户凭证，并在其访问被阻止前从Bitcoin Depot钱包转走超过50枚比特币。 Bitcoin Depot表示：”2026年3月23日，公司发现未授权方访问其部分信息技术系统。检测后，公司立即启动事件响应程序，聘请外部网络安全专家并通知执法部门。结果，未授权行为体未经批准从公司控制的钱包转移约50.903枚比特币，截至报告日价值约366.5万美元。公司进一步认为，事件仅限于公司企业环境，未影响客户平台、部门、系统、数据或环境。” 公司已就入侵通知执法部门，并聘请外部网络安全专家协助调查。 虽然公司持有网络攻击保险，但Bitcoin Depot表示这可能无法覆盖攻击直接导致的所有损失。 “2026年4月6日，公司仍认定该事件具有重大影响，鉴于潜在后果，包括声誉损害、法律、监管和响应成本，”公司补充。 “公司持有可能覆盖网络安全事件相关某些损失的保险，但无法保证该保险足以收回此次事件导致的任何或全部损失。” 去年，Bitcoin Depot还就2024年数据泄露通知近2.6万人，该事件源于威胁行为体入侵系统窃取受影响个人信息的攻击（包括全名、地址、出生日期、驾照号码、邮箱地址和电话号码）。 2024年12月，美国比特币ATM运营商Byte Federal披露类似事件，导致影响5.8万名客户的数据泄露。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 广泛使用的第三方安卓软件开发工具包EngageLab SDK中一处已修复的安全漏洞细节曝光，该漏洞可能使数百万加密货币钱包用户面临风险。 微软Defender安全研究团队今日发布的报告中表示：“该缺陷允许同一设备上的应用绕过安卓安全沙箱，获取私有数据的未授权访问。” EngageLab SDK提供推送通知服务，据其网站介绍，旨在基于开发者已追踪的用户行为发送”及时通知”。集成至应用后，该SDK可发送个性化通知并驱动实时互动。 这家科技巨头称，大量使用该SDK的应用属于加密货币和数字钱包生态系统，受影响钱包应用安装量超过3000万。若计入基于同一SDK构建的非钱包应用，安装量突破5000万。 微软未透露应用名称，但指出所有检测到使用漏洞版本SDK的应用已从Google Play商店移除。经2025年4月负责任披露后，EngageLab于2025年11月发布5.2.1版本修复该漏洞。 该问题在4.5.4版本中被识别，被描述为意图重定向漏洞。安卓中的意图指用于向另一应用组件请求操作的消息对象。 意图重定向发生在脆弱应用发送的意图内容被利用其可信上下文（即权限）操纵时，以获取受保护组件的未授权访问、暴露敏感数据或在安卓环境内提升权限。 攻击者可通过设备上通过其他方式安装的恶意应用利用该漏洞，访问集成SDK应用关联的内部目录，导致敏感数据的未授权访问。 尚无证据表明该漏洞曾被恶意利用。尽管如此，建议集成该SDK的开发者尽快更新至最新版本，尤其考虑到上游库中即使是微小缺陷也可能产生连锁影响，波及数百万设备。 微软表示：”此案例显示第三方SDK中的弱点可能产生大规模安全影响，尤其在数字资产管理等高价值领域。应用日益依赖第三方SDK，形成庞大且往往不透明的供应链依赖。当集成暴露导出组件或依赖跨应用边界未验证的信任假设时，这些风险会增加。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 洛杉矶警察局周二宣布，黑客入侵了洛杉矶市律师办公室数字存储系统，该系统包含敏感警务文件。 洛杉矶警察局称，这些文件是此前已解决或和解的民事案件中，在证据开示阶段移交的材料。据洛杉矶警察局新闻稿，此次入侵未突破任何洛杉矶警察局系统或网络。 新闻稿称：”我们非常重视这一事件，正与洛杉矶市律师办公室合作，获取受影响文件以了解数据泄露的全部范围。洛杉矶警察局致力于保护其敏感人员和调查信息。” 洛杉矶市律师办公室发言人声明称，办公室于3月20日发现入侵。声明称，黑客访问了”市律师办公室用于向对方律师和诉讼当事人传输证据的第三方工具”。 声明称：”市律师办公室已确认，没有其他市政应用或系统涉及此次事件。信息自包含于此应用中，与任何部门记录或系统无链接或访问权限。” 声明称，办公室正与执法部门及外部取证专家合作调查，并与市信息技术局（ITA）合作审查涉及的数据。 声明称：”我们的调查正在继续，以确定工具中存在哪些信息，我们将根据审查结果采取适当行动通知任何受影响方。” 根据加州法律，警察记录通常被视为机密。 洛杉矶市律师办公室未立即回应置评请求。 《洛杉矶时报》报道，据称 featuring 被盗材料信息的社交媒体帖子（部分已被删除）显示，有7.7TB数据可供下载，超过33.7万份文件被访问。被盗材料包括包含证人姓名、医疗信息、未编辑刑事投诉和调查文件的记录。 消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Horizon3.ai报告，Apache ActiveMQ Classic中潜伏13年的远程代码执行（RCE）漏洞可与旧漏洞链接以绕过认证。 Apache ActiveMQ是开源消息和集成模式服务器，作为处理消息队列的中间件代理，广泛应用于众多行业。ActiveMQ Classic是该代理的原始版本。 新发现的漏洞编号CVE-2026-34197，允许攻击者通过Jolokia API调用管理操作，诱使代理检索远程配置文件并执行操作系统命令。 据Horizon3.ai称，该安全缺陷是CVE-2022-41678的绕过方案——该漏洞允许攻击者通过调用特定JDK MBean将Web shell写入磁盘。修复方案添加了一个标志，允许通过Jolokia调用每个ActiveMQ MBean的所有操作。代码执行问题出现在运行时设置代理间桥接的操作中。 然而，该漏洞的利用还需针对ActiveMQ的VM传输功能——该功能设计用于在应用程序内嵌入代理，导致客户端和代理在同一JVM内直接通信。 如果VM传输URI引用不存在的代理，ActiveMQ会创建一个，并接受指示其加载可能包含攻击者提供URL的配置参数。 通过链接这两种机制，攻击者可诱使代理检索并运行Spring XML配置文件，”实例化所有bean定义，导致远程代码执行”，Horizon3.ai表示。 该网络安全公司还指出，在某些部署中，可通过利用CVE-2024-32114实现无需认证的RCE——该漏洞将Jolokia API暴露给未经认证的用户。 “CVE-2024-32114是ActiveMQ 6.x中的独立漏洞，/api/*路径（包括Jolokia端点）被无意中从Web控制台的安全约束中移除。这意味着在ActiveMQ 6.0.0至6.1.1版本中，Jolokia完全无需认证，”Horizon3.ai解释。 新发现的安全缺陷已在ActiveMQ Classic 5.19.4和6.2.3版本中修复，建议用户尽快更新部署。 消息来源：securityweek.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文