Mirai变种Nexcorium深度解析:针对视频监控设备的命令注入漏洞利用与僵尸网络演化分析
奇安信威胁情报中心监测发现,Fortinet FortiGuard Labs与Palo Alto Networks Unit 42联合披露了一起活跃的物联网僵尸网络攻击活动。攻击者利用TBK数字视频录像机(DVR)设备中的命令注入漏洞,部署名为Nexcorium的新型Mirai僵尸网络变种。
奇安信威胁情报中心
Vercel供应链攻击事件深度分析:第三方AI工具成为企业安全突破口
Vercel内部系统遭未授权访问事件的根源是第三方AI工具Context.ai的一名员工于2026年2月感染Lumma信息窃取器,被窃取了包括Google Workspace在内的多项服务凭据,其中部分凭据关联Vercel管理权限,随后ShinyHunters组织在BreachForums上声称出售相关数据。
微软Defender零日漏洞深度分析:从BlueHammer到RedSun,安全工具的攻防博弈
近日微软在Patch Tuesday例行更新中修复了Microsoft Defender反恶意软件平台中的一个高危零日漏洞BlueHammer,该漏洞技术细节在微软官方修复发布前即被公开披露,攻击者可能已掌握漏洞利用代码,随后安全研究员公开了针对同一安全平台的另一未修补漏洞RedSun
MCP协议架构级漏洞深度分析:STDIO设计缺陷引发大规模AI供应链安全危机
奇安信威胁情报中心监测发现,Ox Security于4月披露了Anthropic公司MCP协议中存在的架构级设计缺陷。该漏洞根植于MCP协议的STDIO传输机制,利用此缺陷可实现未授权命令注入与远程代码执行,超过20万台服务器受影响,相关SDK累计下载量突破1.5亿次
每周高级威胁情报解读(2026.04.10~04.16)
APT37 通过 Facebook 发起的有针对性入侵活动;APT35组织在“史诗之怒”冲突前对目标进行系统性网络侦察;Storm-2755 针对加拿大雇员进行“Payroll pirate”攻击;在 npm 上追踪 OtterCookie 信息窃取活动;研究人员成功获取Kimsuky三阶段完整攻击载荷源码
CVE-2026-33032 深度分析:nginx-ui MCP端点认证绕过导致 Nginx 服务器完全接管
nginx-ui 项目(一个开源的基于 Web 的 Nginx 管理界面)被披露存在严重安全漏洞 CVE-2026-33032(CVSS 9.8),该漏洞已被野外积极利用。Pluto Security 安全研究人员将此漏洞命名为 MCPwn。
每周高级威胁情报解读(2026.04.03 ~04.09)
CyberAv3ngers 利用美国关键基础设施中的可编程逻辑控制器进行攻击;APT28 入侵的基础设施用于监视其他目标;Kimsuky 组织已改变了恶意 LNK 文件的分发方式;SideWinders 针对南亚国防的 PaaS 跳槽攻击
暗网情报技术能力框架及参考指标体系
随着暗网威胁持续迭代演化,本框架旨在为行业提供统一、科学、实战化的能力标尺,推动国内暗网情报能力向体系化、专业化、实战化方向高质量发展。
“猪猪侠”的阴影:疑似某虚拟手机服务商官网安装包被供应链攻击
奇安信威胁情报中心红雨滴团队私有情报生产流程发现国内一家提供云手机、虚拟手机的服务商官网安装包疑似于2026年2月-3月底期间被替换,目前已经恢复正常,该事件造成大量政企终端被控。
奇安信SafeSkill三大新功能上线,给你的AI Agent加个看门人
奇安信SafeSkill(safeskill.qianxin.com)迎来了一次重大升级,带来三个核心功能:用户注册登录体系正式开放;SafeSkill Hub——可信的Agent Skill安全生态市场;API与CLI工具——安全检测即服务
每周高级威胁情报解读(2026.03.27~04.02)
Lazarus是Axios供应链投毒幕后黑手;UNC1069入侵广泛使用的Axios NPM软件包;研究人员发现 Callisto 采用了 DarkSword iOS 漏洞利用框架;Pawn Storm 使用 PRISMEX 针对乌克兰及其盟友的国防供应链;银狐Silver Fox利用日本税务季节攻击企业
Axios npm 供应链攻击从TTP层面特征的归属分析
近日,热门JS库axios遭供应链攻击,攻击者劫持维护者npm账户,发布含恶意依赖[email protected]的1.14.1/0.30.4版本。技术特征(预部署诱饵包、多平台载荷、反取证手段)与朝鲜LABYRINTH CHOLLIMA组织高度吻合,多家安全机构高置信度将攻击归因于该组织。
Coruna与DarkSword:iOS高端攻击武器扩散的威胁
2026年3月,安全团队披露两款iOS零日漏洞利用工具包Coruna和DarkSword,这两款本属高级间谍武器的工具目前已经二手市场扩散至多个犯罪团伙,严重威胁普通用户安全。
每周高级威胁情报解读(2026.03.20~03.26)
MuddyWater 针对美以加战略目标的网络间谍活动;StoatWaffle:朝鲜WaterPlum组织使用的模块化Node.js恶意软件;APT-C-13(沙虫)RDP后门攻击活动;Coruna:三角测量行动中使用的框架
又一个开发工具沦陷,Apifox遭供应链投毒攻击
近期,Apifox遭遇供应链投毒攻击,攻击者篡改了Apifox官方CDN上的动态JS文件,在大量开发者电脑上植入隐蔽后门,最终可实现凭证窃取和远程命令执行等恶意功能。此次攻击影响公网SaaS版桌面客户端(Electron 框架),Web版和私有化部署版不受影响。
LiteLLM 最近供应链安全事件详细分析
2026年3月24日,LiteLLM的PyPI包遭供应链攻击,恶意版本1.82.7和1.82.8通过窃取的维护者凭证上传。攻击利用.pth机制窃取云凭证、SSH密钥等,并在K8s环境横向移动。用户应立即检查版本、轮换所有凭证并删除恶意文件。
每周高级威胁情报解读(2026.03.13~03.19)
海莲花组织针对我国重点目标钓鱼攻击活动分析;Boggy Serpens 持续瞄准关键基础设施;Operation GhostMail 活动利用Zimbra Webmail XSS漏洞针对乌克兰目标;Contagious Trader:Lazarus针对加密货币用户的大规模恶意软件活动
OpenClaw热潮之下,Lua窃密软件精心伪装乘虚而入
前段时间兴起的 OpenClaw 热潮引发大量关注,不少人纷纷尝试安装体验。一些攻击者也嗅到了可趁之机,将恶意软件用 OpenClaw 相关话题进行伪装,诱使不明真相的用户运行使用,最终实现敏感数据窃取等目的。
OpenClaw管控困难?奇安信多款产品实现全维度闭环管控
OpenClaw爆火,各类攻击者也盯上了这波热度。由于OpenClaw在主流应用商店的缺失,大量用户转向第三方下载站,催生了黑产团伙的“投毒盛宴”。奇安信多款产品已实现对OpenClaw全维度闭环管控,让政企机构安心拥抱AI技术红利。
每周高级威胁情报解读(2026.03.06~03.12)
揭露APT28用于攻击乌克兰政府目标的“Operation Roundish”工具包;Contagious Interview: 通过虚假的开发者招聘面试传播恶意软件;伊朗情报部行动者与网络犯罪的关联;Sednit 组织重新启用高端自定义植入工具揭开;MuddyWater攻击链的真相
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)