ZCyberNews
English

#supply-chain

56 articles

在2026年4月12日至5月17日期间发布的超过85篇文章聚焦供应链安全,共报告15起严重事件和49起高危事件。威胁行为者Lazarus Group、TeamPCP和CanisterSprawl被观察到针对全球技术、软件开发、加密货币、物流及制造业领域,对北美、欧洲、亚洲及美国造成显著影响。关键漏洞包括CVE-2026-1731、CVE-2026-45033、CVE-2026-39987、CVE-2026-41650和CVE-2026-44664,反映了严重与中等严重性缺陷的混合情况。

Grafana GitHub Token Breach Lets Attacker Download Full CodebaseHIGH
行业动态

Grafana GitHub Token Breach Lets Attacker Download Full Codebase

一名攻击者使用被泄露的GitHub令牌下载了Grafana的整个私有代码库。公司表示没有客户数据被访问,该事件涉及勒索...

4 分钟阅读
MCP Registry OIDC 漏洞 CVE-2026-44428 允许攻击者劫持 GitHubMEDIUM
漏洞

MCP Registry OIDC 漏洞 CVE-2026-44428 允许攻击者劫持 GitHub

CVE-2026-44428 (CVSS 4.7) 在 MCP Registry 1.7.6 之前的版本中,允许攻击者在注册表实例之间重用被盗的 GitHub OIDC 令牌,使未授权的服务器发布和...

CVE-2026-44428
6 分钟阅读
fast-xml-builder 漏洞 CVE-2026-44664 通过三连破折号序列实现 XML 注入MEDIUM
漏洞

fast-xml-builder 漏洞 CVE-2026-44664 通过三连破折号序列实现 XML 注入

CVE-2026-44664(CVSS 6.1)在 fast-xml-builder 中允许攻击者突破 XML 注释并注入任意内容;在版本 1.1.6 中修复。

CVE-2026-44664CVE-2026-41650
6 分钟阅读
GitHub Copilot CLI 漏洞 CVE-2026-45033 通过恶意仓库启用 RCECRITICAL
漏洞

GitHub Copilot CLI 漏洞 CVE-2026-45033 通过恶意仓库启用 RCE

CVE-2026-45033 (CVSS 9.8) 在 GitHub Copilot CLI 1.0.43 之前的版本中,允许攻击者通过在项目目录中嵌入恶意的裸 git 仓库来实现远程代码执行。

CVE-2026-45033
5 分钟阅读
富士康确认北美工厂遭受勒索软件攻击HIGH
行业动态

富士康确认北美工厂遭受勒索软件攻击

Nitrogen 勒索软件团伙声称从富士康北美工厂窃取了8TB的数据,包括来自主要技术客户技术文件。

4 分钟阅读Nitrogen
TeamPCP 劫持 TanStack CI/CD,污染 170+ NPM/PyPI 包CRITICAL
威胁情报

TeamPCP 劫持 TanStack CI/CD,污染 170+ NPM/PyPI 包

TeamPCP 利用三个 GitHub Actions 漏洞劫持 TanStack 的 CI/CD,发布了 42 个包中的 84 个恶意构件。

6 分钟阅读TeamPCP
FCC 将针对外国制造路由器的安全更新禁令推迟至2029年MEDIUM
行业动态

FCC 将针对外国制造路由器的安全更新禁令推迟至2029年

FCC将禁止外国制造路由器软件更新的最后期限从2027年3月延长至2029年1月,理由是公众利益关切和行业反对。

4 分钟阅读
SailPoint 披露通过第三方应用程序 GitHub 仓库遭入侵HIGH
行业动态

SailPoint 披露通过第三方应用程序 GitHub 仓库遭入侵

SailPoint 向 SEC 报告称,攻击者于 4 月 20 日通过第三方应用程序漏洞访问了其 GitHub 仓库的一个子集。

5 分钟阅读
假的 OpenAI 仓库在 Hugging Face 上推广 Rust 信息窃取器HIGH
恶意软件

假的 OpenAI 仓库在 Hugging Face 上推广 Rust 信息窃取器

一个被恶意抢注的 OpenAI 仓库在 Hugging Face 上达到了第一名,下载量达到 244,000 次,分发了一个基于 Rust 的信息窃取器,该窃取器针对浏览器凭证、加密钱包和 VPN...

6 分钟阅读Winos 4.0
Cyber Tax Raises Consumer Prices After Breaches, Podcast WarnsMEDIUM
行业动态

Cyber Tax Raises Consumer Prices After Breaches, Podcast Warns

Malwarebytes Lock 和 Code 播客:Eva Velasquez 详细说明了小型企业网络攻击如何造成一个'cyber tax',提高所有消费者的价格——没有哪个行业能免疫。

3 分钟阅读
FBI 警告网络犯罪分子导致 7.25 亿美元货物盗窃激增HIGH
行业动态

FBI 警告网络犯罪分子导致 7.25 亿美元货物盗窃激增

FBI 警告称,2025 年美国和加拿大的货物盗窃损失达到 7.25 亿美元,由网络犯罪分子利用物流 IT 系统拦截货物并重新定向货物所驱动。

3 分钟阅读
PyTorch Lightning 在 PyPI 供应链攻击中被入侵CRITICAL
恶意软件

PyTorch Lightning 在 PyPI 供应链攻击中被入侵

威胁行为者在 2026 年 4 月 30 日将恶意版本的 PyTorch Lightning 2.6.2 和 2.6.3 推送到 PyPI,通过一个拼写错误的依赖项 —— Aikido Security, Socket… 窃取凭证。

3 分钟阅读
俄罗斯GRU针对支持乌克兰援助的西方物流、科技公司HIGH
威胁情报

俄罗斯GRU针对支持乌克兰援助的西方物流、科技公司

CISA警告称,自2022年以来,俄罗斯GRU黑客针对支持乌克兰援助的西方物流和科技公司。

4 分钟阅读GRU
Vimeo 泄露与 Anodot 供应商黑客入侵有关,未暴露视频数据MEDIUM
行业动态

Vimeo 泄露与 Anodot 供应商黑客入侵有关,未暴露视频数据

Vimeo 将一起安全事件归因于分析供应商 Anodot 的泄露;黑客访问了内部系统,但未访问视频内容、登录信息或支付数据。

3 分钟阅读
Vercel 通过 Context.ai OAuth Token 盗窃被入侵HIGH
行业动态

Vercel 通过 Context.ai OAuth Token 盗窃被入侵

Vercel 在从 Context.ai 被盗的 OAuth 令牌使未授权访问内部系统成为可能后披露了一起入侵事件,通过连接的应用程序。没有客户数据被暴露。

3 分钟阅读
Axios npm 供应链攻击分发跨平台 RATCRITICAL
恶意软件

Axios npm 供应链攻击分发跨平台 RAT

Elastic Security Labs 详细描述了 axios npm 包的供应链被破坏,部署了一个统一的跨平台 RAT,影响了未知数量的下游...

3 分钟阅读
ESET: 2026年3月网络威胁显示弹性差距MEDIUM
行业动态

ESET: 2026年3月网络威胁显示弹性差距

ESET的Tony Anscombe警告说,2026年3月的攻击——包括勒索软件、供应链妥协和AI驱动的网络钓鱼——揭示了组织中系统性的差距……

3 分钟阅读
Itron 泄露:公用事业公司披露内部IT网络入侵HIGH
行业动态

Itron 泄露:公用事业公司披露内部IT网络入侵

Itron 在 SEC 8-K 文件中披露了一起网络安全事件:未经授权的第三方访问了内部IT系统。

4 分钟阅读
国家黑客针对矿业部门的关键矿产供应MEDIUM
威胁情报

国家黑客针对矿业部门的关键矿产供应

Recorded Future 警告称,国家资助的网络行动越来越多地针对矿业公司,以获取关键矿产和稀土元素,因为中国在精炼领域的主导地位正在重塑...

4 分钟阅读
苹果应用商店上的26个假加密钱包应用窃取助记词HIGH
威胁情报

苹果应用商店上的26个假加密钱包应用窃取助记词

卡巴斯基自2025年秋季以来在苹果应用商店发现了26个恶意应用,这些应用冒充MetaMask和Coinbase等钱包,通过…来窃取恢复短语和私钥。

4 分钟阅读
Tropic Trooper 使用木马化的 SumatraPDF 部署 AdaptixC2HIGH
威胁情报

Tropic Trooper 使用木马化的 SumatraPDF 部署 AdaptixC2

Zscaler ThreatLabz 将 Tropic Trooper 与使用木马化的 SumatraPDF 投放 AdaptixC2 Beacon 并滥用 VS Code 隧道进行远程访问的活动联系起来,目标是说中文的...

4 分钟阅读Tropic Trooper
CanisterSprawl 蠕虫劫持 npm 包,窃取开发者令牌HIGH
恶意软件

CanisterSprawl 蠕虫劫持 npm 包,窃取开发者令牌

根据 Socket 和…的说法,CanisterSprawl 供应链蠕虫劫持 npm 包,使用窃取的开发者令牌进行自我传播,并将数据外泄到 ICP canister。

3 分钟阅读CanisterSprawl
Checkmarx KICS 供应链泄露影响 Docker 和 VS CodeCRITICAL
恶意软件

Checkmarx KICS 供应链泄露影响 Docker 和 VS Code

攻击者破坏了 Checkmarx KICS 的 Docker 镜像和 VS Code 扩展,以窃取开发者环境中的云凭证、API 密钥和源代码。

4 分钟阅读
朝鲜黑客通过木马化软件窃取1200万美元加密货币HIGH
恶意软件

朝鲜黑客通过木马化软件窃取1200万美元加密货币

朝鲜黑客在2026年第一季度使用木马化的交易应用程序如CoinStats和TradingView AI Agent窃取了超过1200万美元的加密货币,以窃取恢复短语和…

3 分钟阅读Lazarus Group
Agentic AI Systems 引入新型企业安全风险HIGH
AI 安全

Agentic AI Systems 引入新型企业安全风险

Recorded Future 警告称,现在被集成到企业软件中的自主 'agentic' AI 系统,为即时注入、数据投毒和…创造了新的攻击面。

6 分钟阅读
朝鲜假工作诈骗通过'传染式面试'传播恶意软件HIGH
威胁情报

朝鲜假工作诈骗通过'传染式面试'传播恶意软件

朝鲜特工使用一种'传染式面试'策略,其中被入侵开发者的GitHub仓库将RATs传播给其他求职者。

5 分钟阅读Lazarus Group
Bomgar RMM 漏洞助长勒索软件和供应链攻击CRITICAL
漏洞

Bomgar RMM 漏洞助长勒索软件和供应链攻击

CVE-2026-1731,一个在BeyondTrust的Bomgar RMM中的关键9.8 CVSS漏洞,正在被积极利用来部署勒索软件和在全球供应链攻击中破坏IT服务提供商。

CVE-2026-1731
4 分钟阅读
恶意加密应用从苹果应用商店劫持恢复短语HIGH
恶意软件

恶意加密应用从苹果应用商店劫持恢复短语

苹果从其应用商店移除了45个恶意加密货币应用,这些应用窃取了用户的恢复短语和私钥,模仿了像MetaMask和Coinbase这样的合法钱包。

5 分钟阅读
CISA 警告 Axios npm 包在供应链攻击中被入侵CRITICAL
威胁情报

CISA 警告 Axios npm 包在供应链攻击中被入侵

CISA 提醒 Axios npm 包,每周下载量超过6000万次,在供应链攻击中被入侵,将恶意代码注入下游应用程序。

5 分钟阅读
GitHub 问题通知被劫持用于开发者钓鱼攻击通过 OAuth 应用HIGH
威胁情报

GitHub 问题通知被劫持用于开发者钓鱼攻击通过 OAuth 应用

威胁行为者正在利用 GitHub 的可信通知系统来钓鱼开发者,推送恶意的 OAuth 应用,这些应用窃取账户数据并劫持代码仓库。该活动利用平台自身的基础设施来绕过传统的电子邮件安全。

5 分钟阅读
Vercel 泄露事件通过被入侵的 AI 工具暴露客户凭证HIGH
威胁情报

Vercel 泄露事件通过被入侵的 AI 工具暴露客户凭证

Vercel 确认了一起泄露事件,暴露了有限的客户凭证,攻击者通过第三方 AI 工具 Context.ai 入侵了一名员工的账户。云平台正在为受影响的用户重置密码和 API 令牌。

5 分钟阅读
108款恶意Chrome扩展劫持浏览器,窃取Google和Telegram数据HIGH
恶意软件

108款恶意Chrome扩展劫持浏览器,窃取Google和Telegram数据

Socket识别出108款恶意Chrome扩展,感染了20,000名用户,窃取Google和Telegram会话cookie,并通过共享的命令和控制服务器注入广告。

5 分钟阅读
TeamPCP 供应链攻击助长薪资欺诈和勒索软件HIGH
威胁情报

TeamPCP 供应链攻击助长薪资欺诈和勒索软件

TeamPCP 威胁行为者破坏了受信任的软件工具,从100多个组织窃取凭证,使薪资欺诈、物流盗窃和勒索软件敲诈达到150万美元。

6 分钟阅读TeamPCP
Vercel 确认数据泄露后黑客试图出售被盗信息HIGH
威胁情报

Vercel 确认数据泄露后黑客试图出售被盗信息

Vercel 在威胁行为者试图在黑客论坛上出售被盗数据,包括客户账户信息和内部项目细节后,披露了安全漏洞。该云平台正在调查事件的范围。

3 分钟阅读
商业冒充欺诈随着AI驱动的购物诈骗演变MEDIUM
威胁情报

商业冒充欺诈随着AI驱动的购物诈骗演变

Recorded Future 详细说明了威胁行为者如何利用企业身份验证的漏洞,从兑现被盗支票转变为策划AI驱动的购物诈骗,冒充合法企业以窃取商品。

7 分钟阅读
网络犯罪分子劫持物流系统以盗窃高价值实物货物HIGH
威胁情报

网络犯罪分子劫持物流系统以盗窃高价值实物货物

威胁行为者正在破坏货运和货运代理公司,操纵货物运输并盗窃实物货物,超越数据盗窃,针对运输中的高价值商品。

6 分钟阅读
勒索软件攻击扰乱汽车数据巨头Autovista集团HIGH
威胁情报

勒索软件攻击扰乱汽车数据巨头Autovista集团

欧洲主要汽车数据和分析公司Autovista集团确认了一起勒索软件攻击,扰乱了运营。公司正在与外部专家合作调查,但对客户数据的影响尚不清楚。

5 分钟阅读
广告软件活动劫持DNS暴露数千个OT和政府终端HIGH
恶意软件

广告软件活动劫持DNS暴露数千个OT和政府终端

自2023年以来活跃的恶意广告软件活动劫持了超过25,000个系统的DNS设置,将流量重定向至攻击者控制的服务器,使关键OT和政府网络中的终端暴露于进一步的威胁之中。

7 分钟阅读
亚洲的数字供应链面临独特的安全挑战MEDIUM
行业动态

亚洲的数字供应链面临独特的安全挑战

根据一项新的分析,亚洲相互连接的数字生态系统、不同的监管体系和迅速的AI采用正在为区域和全球供应链创造独特而复杂的安全风险。

6 分钟阅读
EssentialPlugin WordPress Suite 被入侵部署后门影响数千网站HIGH
恶意软件

EssentialPlugin WordPress Suite 被入侵部署后门影响数千网站

包含超过30个流行WordPress插件的EssentialPlugin套件已被入侵,以注入后门,使攻击者能够获得对数千个网站的管理员访问权限。供应链攻击正在被积极利用。

7 分钟阅读
Legitify 开源工具扫描 GitHub、GitLab 寻找安全配置错误INFORMATIONAL
工具与技术

Legitify 开源工具扫描 GitHub、GitLab 寻找安全配置错误

Legit Security 发布 Legitify,这是一个开源扫描器,用于识别 GitHub 和 GitLab 组织、仓库以及 CI/CD 运行器中的安全配置错误,以对抗软件供应链风险。

7 分钟阅读
签名广告软件工具使用SYSTEM权限禁用杀毒软件HIGH
恶意软件

签名广告软件工具使用SYSTEM权限禁用杀毒软件

一个数字签名的广告工具 'PC App Store' 被滥用来部署脚本,这些脚本使用SYSTEM权限禁用杀毒软件,影响了教育和政府等领域的数千个终端。

5 分钟阅读
威胁行为者武器化n8n工作流平台进行网络钓鱼和载荷投递HIGH
威胁情报

威胁行为者武器化n8n工作流平台进行网络钓鱼和载荷投递

自2025年10月以来,攻击者一直在滥用合法的n8n工作流自动化平台发送网络钓鱼邮件和投递恶意软件,利用其受信任的基础设施绕过电子邮件安全过滤器。

6 分钟阅读
WordPress 插件供应链攻击在8个月休眠后部署后门HIGH
威胁情报

WordPress 插件供应链攻击在8个月休眠后部署后门

一个威胁行为者购买了合法的WordPress插件业务,并在更新中隐藏了一个后门长达八个月,然后激活它,在一个复杂的供应链攻击中,数千个站点被泄露。

7 分钟阅读
苹果应用商店上的假冒Ledger Live应用窃取了价值950万美元的加密货币HIGH
恶意软件

苹果应用商店上的假冒Ledger Live应用窃取了价值950万美元的加密货币

一个通过苹果官方App Store分发的恶意Ledger Live应用通过收集恢复短语,从50名受害者那里窃取了大约950万美元。

6 分钟阅读
恶意Chrome扩展劫持OAuth令牌,部署后门HIGH
恶意软件

恶意Chrome扩展劫持OAuth令牌,部署后门

官方Chrome网上应用店中有超过100个恶意扩展正在窃取Google OAuth2令牌,部署后门,并进行广告欺诈,影响数百万用户。

6 分钟阅读
PHP Composer 严重漏洞允许通过 Perforce 驱动远程命令执行HIGH
漏洞

PHP Composer 严重漏洞允许通过 Perforce 驱动远程命令执行

PHP Composer 的 Perforce 驱动中存在两个高严重性的命令注入漏洞(CVE-2026-40176,CVE-2026-40177),在包操作期间允许在开发者系统上执行任意命令。

CVE-2026-40176CVE-2026-40177
5 分钟阅读
CPUID 软件下载被入侵,分发了 STX RAT 恶意软件HIGH
恶意软件

CPUID 软件下载被入侵,分发了 STX RAT 恶意软件

威胁行为者入侵了 CPUID 的下载基础设施六小时,将用户重定向到提供 STX RAT 的恶意网站。官方签名文件未受影响。

6 分钟阅读
CPUID 网站被入侵以分发木马化系统工具HIGH
恶意软件

CPUID 网站被入侵以分发木马化系统工具

一个讲俄语的威胁行为者黑客入侵了CPUID网站,用木马化的安装程序替换了CPU-Z和HWMonitor的合法下载链接,这些安装程序分发了STX RAT恶意软件。

5 分钟阅读Russian-speaking threat actor
假冒 Claude AI 网站通过 DLL 侧加载传递 PlugX RATHIGH
恶意软件

假冒 Claude AI 网站通过 DLL 侧加载传递 PlugX RAT

一个冒充 Anthropic 的 Claude AI 的欺诈网站分发了一个自删除安装程序,该安装程序通过 DLL 侧加载部署了 PlugX 远程访问木马。

7 分钟阅读
关键Marimo RCE漏洞在披露后几小时内被利用CRITICAL
漏洞

关键Marimo RCE漏洞在披露后几小时内被利用

Marimo Python笔记本中的关键预认证远程代码执行漏洞(CVE-2026-39987)在公开披露后10小时内被野外利用,对数据科学环境构成严重风险。

CVE-2026-39987
6 分钟阅读
被植入后门的Smart Slider 3 Pro更新通过被入侵的插件服务器部署HIGH
威胁情报

被植入后门的Smart Slider 3 Pro更新通过被入侵的插件服务器部署

未知的威胁行为者入侵了Smart Slider 3 Pro WordPress插件的更新基础设施,向用户推送了一个被植入后门的版本(3.5.1.35)。这次攻击利用供应链入侵来获得管理权限。

6 分钟阅读
GlassWorm 使用新的 Zig 投放器通过伪造的 VS Code 扩展针对开发者 IDEHIGH
威胁情报

GlassWorm 使用新的 Zig 投放器通过伪造的 VS Code 扩展针对开发者 IDE

研究人员发现 GlassWorm 最新的 Zig 投放器隐藏在恶意 VS Code 扩展中,允许在开发者工作站上静默感染多个 IDE。

5 分钟阅读
朝鲜Lazarus集团通过Axios供应链攻击入侵OpenAIHIGH
威胁情报

朝鲜Lazarus集团通过Axios供应链攻击入侵OpenAI

朝鲜的Lazarus集团通过Axios客户端库的供应链攻击入侵了OpenAI的内部系统,使用被盗的macOS代码签名证书来签名恶意软件。

5 分钟阅读Lazarus Group
Orange Business 将 AI 集成到企业语音中,引发安全问题MEDIUM
行业动态

Orange Business 将 AI 集成到企业语音中,引发安全问题

Orange Business 正在将其企业语音平台嵌入生成性 AI,这一举措扩大了攻击面,并引入了新的数据安全和隐私风险。

6 分钟阅读
Oberon System 3 原生端口为 Raspberry Pi 提升供应链安全担忧MEDIUM
威胁情报

Oberon System 3 原生端口为 Raspberry Pi 提升供应链安全担忧

通过预配置的 SD 卡镜像分发的 Raspberry Pi 3 的 Oberon System 3 原生端口,呈现了一个潜在的供应链攻击向量。该镜像的来源和完整性无法完全验证,突显了第三方固件分发的风险。

7 分钟阅读

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。