文章列表
OpenSSH 10.3 修复了 Shell 注入与多个 SSH 安全问题
OpenSSH 项目于 2026 年 4 月 2 日发布了 10.3 和 10.3p1 版本,修复了一个 shell 注入漏洞,并引入了多项安全加固变更,管理员在升级前应仔细审阅这些变更。最值得关注的安全修复针对的是 -J(ProxyJump)命令行选项中的 shell 注入漏洞。在此版本之前,通过命令行 -J 或 -oProxyJump="..." 传递的用
谷歌溯源发现@Axios供应链攻击是朝鲜黑客所为 只为窃取加密钱包
昨天知名开源库 @Axios 遭到黑客攻击,黑客通过某种方式劫持开发者的 NPM 账号并发布携带恶意代码的版本,这个开源库每月下载量高达 3 亿次,可见此次供应链攻击造成的影响非常大。人工智能项目 OpenClaw AI 机器人也同样需要使用 @Axios 开源库,昨天蓝点网发布安全提醒后有部分用户自查,发现部署环
黑客组织SilverFox利用日本年度税务申报和组织变更的季节,针对日本制造业和其他企业发动定向钓鱼攻击
日本已进入年度纳税申报和组织变革季,在此期间,企业会产生大量合法的财务和人力资源相关信息。一个名为Silver Fox的威胁参与者正在积极利用这一繁忙时期,针对日本制造商和其他企业开展有针对性的鱼叉式网络钓鱼活动。正在进行的活动使用令人信服的网络钓鱼诱饵,这些诱饵与违反税收法规、工资调整、
Vim 模型行绕过漏洞允许攻击者执行任意操作系统命令
最新发现的 Vim 文本编辑器高危漏洞会使用户面临在操作系统上执行任意命令的风险。该漏洞编号为 CVE-2026-34982,它利用模型行沙箱绕过漏洞,当受害者打开一个特制的文件时,该漏洞就会被触发。安全研究人员“dfwjj x”和 Avishay Matayev 发现了一个漏洞链,该漏洞链会影响 9.2.0276 之前的 Vim 版本
思科遭到供应链攻击泄露内部及客户产品源代码 目前正在大规模轮换凭证
3 月份开源的漏洞扫描器 Trivy 遭遇攻击并向使用该工具的下游项目投毒,攻击者利用恶意 GitHub Action 插件感染多个企业的内部环境,随后窃取内部环境中的敏感数据例如各种云凭证。知名科技公司思科也在这轮供应链攻击中受损,攻击者利用恶意的 GitHub Action 从思科的构建和开发环境中窃取凭据和数据
Google Cloud Vertex AI平台漏洞可致攻击者访问敏感数据
人工智能代理正迅速成为企业工作流程中不可或缺的一部分,但同时也引入了新的攻击面。安全研究人员最近发现了Google Cloud Platform的Vertex AI Agent Engine中存在一个重大漏洞。通过利用默认权限范围,攻击者可以将已部署的AI代理武器化为“双重间谍”,秘密窃取数据并破坏云基础设施。利用默认权限
微软呼吁关注1项新的社会工程学攻击,原理是利用WhatsApp消息分发恶意VBS文件,从而持久化权限维持
事件起始时间描述该活动从2026年2月下旬开始,利用这些脚本启动多阶段感染链,以建立持久性并实现远程访问。“这场运动依赖于社会工程和非土地技术的结合,”微软防御安全研究小组说。它使用重命名的Windows应用工具来融入正常的系统活动,从AWS、腾讯云和Backblaze B2等受信任的云服务中检索有效负载
AI代理开发工具“Langflow”未经授权代码执行漏洞,被美国CISA监测到已经有大量服务器被getshell
美国网络安全与基础设施安全局(CISA)认识到该漏洞(CVE-2026-33017)的严重性,并立即将其列入“已知被利用漏洞”(KEVs)名单。该漏洞属于极高风险群体,CVSS评分为9.8,是一个结构性漏洞,允许未经过认证过程的外部攻击者注入任意Python代码,远程控制系统。根据云安全公司Sysdig的分析,黑客在漏
Claude Code 的源代码意外泄露在 NPM 包中
Anthropic 公司表示,他们不小心泄露了闭源软件 Claude Code 的源代码,但该公司表示,没有客户数据或凭证泄露。尽管 Anthropic 承诺支持开源社区,但 Claude Code 一直保持闭源状态,至少在今天之前是这样,直到今天一次更新意外地包含了内部源代码。Anthropic 在给 BleepingComputer 的一份声明中证
CareCloud数据泄露:黑客访问IT基础设施并窃取患者数据
一家知名医疗技术提供商正式披露了一起重大网络安全事件,其IT基础设施遭到未授权访问。一名未授权行为者入侵了该公司的一个电子健康记录系统,引发了对敏感患者数据可能泄露的担忧。该安全事件最初发生在2026年3月16日。此次入侵导致网络暂时中断,主要针对CareCloud Health部门。此次网络攻击部分影
