Russian State-Linked APT28 Exploits SOHO Routers in Global DNS Hijacking Campaign 好的，我现在需要帮用户总结一篇关于网络攻击的文章，控制在100字以内。首先，我得仔细阅读文章内容，抓住主要信息。 文章讲的是俄罗斯相关的威胁组织APT28，他们利用了MikroTik和TP-Link路由器的安全漏洞，从2025年5月开始进行大规模的网络间谍活动。他们通过篡改DNS设置，劫持网络流量，收集认证凭证，进而进行中间人攻击，窃取密码和OAuth令牌等信息。微软和Lumen的团队已经破坏了他们的基础设施，并指出这次活动主要针对政府机构和相关服务提供商。 接下来，我需要将这些关键点浓缩成一段话，不超过100字。要确保包含APT28、路由器漏洞、DNS劫持、中间人攻击、影响范围以及目标对象等信息。 可能的结构是：APT28利用路由器漏洞进行DNS劫持和中间人攻击，收集凭证并窃取信息，影响全球多个机构。 现在检查一下字数是否符合要求，并确保没有使用任何开头词如“这篇文章总结了...”。 </think> 俄罗斯相关威胁组织APT28利用MikroTik和TP-Link路由器漏洞发起大规模网络间谍活动，篡改DNS设置劫持流量并进行中间人攻击以窃取凭证和敏感数据。该活动影响全球120个国家的1.8万个IP地址及200多家机构。... 2026-4-7 16:48:0 | 阅读: 2 | 收藏 | The Hacker News - thehackernews.com microsoft aitm hijacking apt28 routers

Docker CVE-2026-34040 Lets Attackers Bypass Authorization and Gain Host Access 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经提供了文章内容和示例回复，我得先仔细阅读文章，理解其主要内容。 这篇文章主要讲的是Docker Engine发现了一个高危漏洞CVE-2026-34040，CVSS评分8.8。这个漏洞是由于之前修复另一个漏洞CVE-2024-41110时没有完全解决，导致攻击者可以利用精心构造的API请求绕过授权插件。攻击者通过填充请求体到超过1MB，使得插件无法正确处理，从而允许创建特权容器，访问宿主机文件系统。此外，AI代理如OpenClaw也可能被利用来执行恶意代码。文章还提到了临时的修复措施，比如避免依赖请求体的AuthZ插件、限制Docker API访问以及使用rootless模式运行Docker。 接下来，我需要将这些信息浓缩到100字以内。重点包括：漏洞名称、CVSS评分、影响（绕过AuthZ插件）、攻击者如何利用（填充请求体）、可能造成的后果（创建特权容器、访问宿主机）、AI代理的风险以及修复建议。 现在组织语言：Docker Engine发现高危漏洞CVE-2026-34040（CVSS 8.8），源于未完全修复CVE-2024-41110。攻击者可构造API请求绕过授权插件，创建特权容器并访问宿主机文件系统。AI代理可能被利用触发漏洞。建议升级至29.3.1版本，并采取限制API访问或使用rootless模式等措施。 检查字数是否在限制内，并确保信息准确无误。 </think> Docker Engine发现高危漏洞CVE-2026-34040（CVSS 8.8），源于未完全修复CVE-2024-41110。攻击者可构造API请求绕过授权插件，创建特权容器并访问宿主机文件系统。AI代理可能被利用触发漏洞。建议升级至29.3.1版本，并采取限制API访问或使用rootless模式等措施。... 2026-4-7 15:15:0 | 阅读: 11 | 收藏 | The Hacker News - thehackernews.com authz privileged tokarev attacker cyera

Over 1,000 Exposed ComfyUI Instances Targeted in Cryptomining Botnet Campaign 好的，我需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我快速浏览文章，发现主要讲的是针对ComfyUI实例的网络攻击活动。攻击者利用漏洞进行加密货币挖矿和代理botnet的构建。 接下来，文章提到攻击者使用Python扫描器寻找暴露的ComfyUI实例，并通过恶意节点安装后门。成功入侵后，这些设备被用于挖矿Monero和Conflux，并加入Hysteria V2 botnet。攻击者还利用Flask控制面板管理这些设备。 此外，文章指出有超过1000个暴露的ComfyUI实例，虽然数量不大，但足以让攻击者获利。攻击者还针对竞争对手Hisana进行破坏，并使用多种机制确保持久性。 最后，文章提到最近几周出现了多个botnet活动，包括针对n8n、路由器、Apache ActiveMQ等的攻击。整体来看，botnet活动在过去一年中显著增加。 总结时需要涵盖主要点：攻击目标、利用方式、后果以及当前趋势。控制在100字以内，直接描述内容。 </think> 研究人员发现针对暴露的ComfyUI实例的网络攻击活动,攻击者利用配置漏洞植入恶意节点,用于加密货币挖矿和代理botnet构建,并使用Flask控制面板管理受感染设备,此类活动反映了近期botnet攻击激增的趋势。... 2026-4-7 12:46:0 | 阅读: 6 | 收藏 | The Hacker News - thehackernews.com comfyui python miner censys attacker

[Webinar] How to Close Identity Gaps in 2026 Before AI Exploits Enterprise Risk 好的，我现在需要帮用户总结一篇文章，控制在100字以内。首先，我得仔细阅读文章内容，抓住主要观点。 文章主要讲的是2026年的威胁环境，CISO和安全领导面临一个矛盾：身份管理虽然成熟了，但风险却在增加。Ponemon Institute的研究指出，企业中有很多应用没有连接到中央身份系统，这些“暗物质”应用成为攻击面，被AI威胁利用。 接下来，文章提到现代企业虽然投入了IAM和零信任，但遗留应用、本地账户和SaaS孤岛仍然是盲点。AI的引入加剧了这个问题，因为AI代理需要访问这些不受控的系统，导致凭证风险增加。 最后，文章建议参加一个网络研讨会，讨论如何解决这些问题，并提供了一些具体的补救措施。 总结的时候要简洁明了，涵盖主要问题：身份管理成熟但风险增加、暗物质应用、AI放大威胁、以及解决方案。确保在100字以内表达清楚。 </think> 2026年威胁环境下，身份管理虽成熟但风险上升。"暗物质"应用脱离中央管控，成攻击目标。AI放大威胁，需加强身份治理与自动化管理。... 2026-4-7 12:17:0 | 阅读: 6 | 收藏 | The Hacker News - thehackernews.com security agents 2026 maturity leaders

The Hidden Cost of Recurring Credential Incidents 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。首先，我得仔细阅读文章，理解它的主要观点。 文章主要讨论了凭证安全问题，特别是除了数据泄露之外的日常问题。比如账户锁定、密码被破解这些虽然不会上新闻，但每天都在发生的小问题。这些小问题累积起来对IT团队和整个业务的影响很大。 然后，文章提到频繁的密码重置请求占用了大量资源，比如帮助台的电话和员工的时间。这不仅增加了运营成本，还让IT团队忙于灭火，无法专注于更重要的工作。 接着，文章分析了糟糕的密码策略如何导致这些问题。比如模糊不清的错误信息让用户不知所措，结果他们只能重复使用旧密码或者不安全地存储密码。这反而增加了被攻击的风险。 此外，文章指出定期强制更换密码并不能有效提升安全性，反而会导致用户使用更弱的密码，并增加锁屏和重置请求的数量。因此，建议采用更智能的方法来检测和处理已泄露的密码。 最后，文章推荐了Specops Password Policy这样的工具，它能持续扫描用户账户是否有被泄露的密码，并提醒用户及时更换。这样可以减少攻击者利用这些凭证的机会。 总结一下，文章强调除了防止数据泄露外，日常的凭证管理问题同样重要，并提出了改进策略和工具来解决这些问题。 </think> 文章探讨了凭证安全中的常见问题及其对企业运营的影响。除了数据泄露风险外,频繁的账户锁定、密码重置等日常问题也会给IT团队和业务带来持续负担。糟糕的密码策略不仅增加用户困扰,还可能加剧安全风险。通过智能检测和管理工具,企业可以有效减少这类问题,提升整体安全性和运营效率。... 2026-4-7 11:30:0 | 阅读: 6 | 收藏 | The Hacker News - thehackernews.com passwords security repeated resets breached

New GPUBreach Attack Enables Full CPU Privilege Escalation via GDDR6 Bit-Flips 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要信息。 文章讲的是新的学术研究发现了针对高性能GPU的RowHammer攻击，这些攻击可以被用来提升权限，甚至完全控制主机。攻击的名字有GPUBreach、GDDRHammer和GeForge。其中GPUBreach通过破坏GPU的内存表，允许无权限进程读写GPU内存，并进一步提升到CPU的完全控制权。这些攻击对云AI和HPC环境有严重影响。现有的ECC等措施并不能完全防御这些攻击。 接下来，我需要把这些关键点浓缩到100字以内。要确保包括攻击类型、影响、具体例子以及防御措施的不足。 可能会这样组织：新研究发现针对GPU的RowHammer攻击，能提升权限甚至控制主机。GPUBreach等方法利用内存漏洞破坏GPU内存表，绕过IOMMU保护，导致数据泄露和系统控制。现有ECC无法有效防御。 检查一下字数是否合适，并确保没有遗漏重要信息。 </think> 新研究发现针对GPU的RowHammer攻击可致权限提升甚至主机控制。GPUBreach等方法利用GDDR6内存漏洞破坏GPU页表，绕过IOMMU保护机制，引发数据泄露及系统接管风险。现有ECC防护措施无法有效应对此类威胁。... 2026-4-7 08:38:0 | 阅读: 7 | 收藏 | The Hacker News - thehackernews.com memory gpubreach rowhammer ecc iommu

China-Linked Storm-1175 Exploits Zero-Days to Rapidly Deploy Medusa Ransomware 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。首先，我需要仔细阅读这篇文章，抓住主要信息。 文章讲的是一个来自中国的威胁行为者，使用Medusa勒索软件，并结合零日漏洞和N日漏洞进行快速攻击。他们主要攻击医疗、教育、金融等行业的互联网系统，影响了澳大利亚、英国和美国的组织。微软的威胁情报团队提到了这些攻击利用了多个漏洞，并且在某些情况下是在漏洞公开之前就进行了利用。 接下来，我需要把这些信息浓缩到100字以内。要确保涵盖主要点：威胁行为者、使用的工具、攻击目标、影响范围以及利用的漏洞情况。 可能的结构是：来自中国的威胁行为者利用零日和N日漏洞快速攻击医疗、教育、金融等行业的系统，影响多国组织，并利用多个漏洞进行入侵和部署勒索软件。 检查一下字数，确保不超过限制。同时，避免使用复杂的术语，让总结更易懂。 </think> 中国威胁行为者利用零日和N日漏洞快速攻击医疗、教育、金融等行业的互联网系统，影响澳大利亚、英国和美国的组织，并通过多个漏洞部署Medusa勒索软件。... 2026-4-7 06:35:0 | 阅读: 8 | 收藏 | The Hacker News - thehackernews.com ransomware microsoft 1175 2026 medusa

Flowise AI Agent Builder Under Active CVSS 10.0 RCE Exploitation; 12,000+ Instances Exposed 好的，我现在要帮用户总结这篇文章的内容，控制在100字以内。首先，我需要通读整篇文章，抓住主要信息。 文章讲的是Flowise这个开源AI平台被发现了一个最高级别的安全漏洞，CVE-2025-59528，CVSS评分10.0。这个漏洞是代码注入漏洞，可能导致远程代码执行。具体来说，CustomMCP节点允许用户输入配置连接外部MCP服务器，但没有安全验证就执行JavaScript代码。攻击者可以利用这个漏洞执行任意代码，导致系统完全被控制、文件系统访问、命令执行和敏感数据泄露。 此外，文章提到已经有攻击活动利用了这个漏洞，并且这是Flowise平台的第三个被实际利用的漏洞。VulnCheck的研究人员指出，这个漏洞已经公开超过六个月，但仍有大量暴露的实例容易被攻击。 接下来，我需要将这些信息浓缩到100字以内。重点包括：漏洞名称、CVSS评分、影响（远程代码执行）、攻击者的能力（文件访问、命令执行、数据泄露）、已有攻击活动以及漏洞的严重性。 现在组织语言：Flowise平台发现高危漏洞CVE-2025-59528（CVSS 10.0），允许远程代码执行。攻击者可获取文件系统和命令执行权限，并窃取敏感数据。已有攻击活动利用此漏洞，该平台已修复。 检查字数：大约在90字左右，符合要求。 </think> Flowise平台发现高危漏洞CVE-2025-59528（CVSS 10.0），允许远程代码执行。攻击者可获取文件系统和命令执行权限，并窃取敏感数据。已有攻击活动利用此漏洞，该平台已修复。... 2026-4-7 05:56:0 | 阅读: 11 | 收藏 | The Hacker News - thehackernews.com flowise security vulncheck mcp 59528

Iran-Linked Password-Spraying Campaign Targets 300+ Israeli Microsoft 365 Organizations 嗯，用户让我总结一篇文章，控制在100字以内，而且不需要特定的开头。首先，我得通读整篇文章，抓住主要内容。 文章主要讲的是一个与伊朗有关的威胁行为者发起了针对以色列和阿联酋的微软365环境的密码喷洒攻击。攻击分为三个阶段，分别在2026年的3月3日、13日和23日进行。Check Point指出，这次活动影响了超过300个以色列组织和25个阿联酋组织，并且还观察到对欧洲、美国、英国和沙特阿拉伯的一些目标进行了有限攻击。 密码喷洒是一种暴力攻击方式，使用常见的密码尝试多个用户名。伊朗黑客组织过去常用这种方法。Check Point提到这次活动与Gray Sandstorm有关，并且使用了Tor出口节点和特定的VPN节点。 此外，文章还提到Pay2Key勒索软件在2026年2月针对美国一家医疗机构发动了攻击，使用了改进的技术，并没有像之前那样窃取数据。伊朗经常利用网络行动报复政治上的不满，这次攻击可能也是出于类似动机。 总结时需要涵盖主要事件：伊朗威胁行为者发起密码喷洒攻击，影响中东地区多个国家的组织，并提到Pay2Key勒索软件的活动。同时要控制在100字以内，简洁明了。 </think> 伊朗关联的网络威胁行为者涉嫌针对以色列和阿联酋的微软365环境发起密码喷洒攻击，影响超300家以色列机构及部分欧洲、美国等目标。该活动采用Tor节点实施暴力破解、登录及数据窃取，并与伊朗黑客组织相关。同时，伊朗支持的勒索软件Pay2Key近期活跃于中东冲突背景下。... 2026-4-6 18:37:0 | 阅读: 6 | 收藏 | The Hacker News - thehackernews.com ransomware iran israel spraying sandstorm

DPRK-Linked Hackers Use GitHub as C2 in Multi-Stage Attacks Targeting South Korea 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解其主要内容。 文章主要讲的是朝鲜黑客组织利用GitHub作为C2基础设施进行多阶段攻击，目标是韩国的组织。攻击链从带有LNK文件的钓鱼邮件开始，这些LNK文件会释放一个诱饵PDF和PowerShell脚本。PowerShell脚本会检查虚拟机、调试器等进程，避免被分析。如果通过检查，它会提取VBScript并设置计划任务，每30分钟运行一次PowerShell脚本，以保持持久性。 接下来，PowerShell脚本会收集受感染主机的信息，并将结果保存到日志文件中，然后将这些信息外泄到GitHub仓库。GitHub账户包括motoralis等。此外，PowerShell脚本还会从GitHub仓库中解析特定文件以获取额外模块或指令。 Fortinet提到早期的攻击依赖LNK文件传播恶意软件家族如Xeno RAT，并指出这些攻击与朝鲜政府支持的Kimsuky组织有关。研究人员指出威胁行为者使用Windows原生工具进行部署、规避和持久性，从而降低检测率。 文章还提到AhnLab详细描述了类似的基于LNK的感染链，最终部署了一个基于Python的后门。LNK文件执行PowerShell脚本并在C:\windirr路径下创建隐藏文件夹来加载有效载荷。此外，还使用Dropbox作为C2通道下载批处理脚本和ZIP文件片段，最终提取任务调度程序和Python后门。 韩国安全公司S2W指出ScarCruft组织从传统的LNK攻击链转向基于HWP OLE的dropper来交付RokRAT远程访问木马。恶意软件嵌入HWP文档作为OLE对象，并通过DLL侧加载执行。 总结一下，文章主要讲述了朝鲜黑客组织利用GitHub和钓鱼邮件进行多阶段攻击的技术细节以及相关安全公司的分析。 </think> 朝鲜黑客组织利用GitHub作为C2基础设施，在针对韩国的多阶段攻击中使用钓鱼邮件传播恶意软件。攻击链涉及LNK文件、PowerShell脚本和诱饵PDF文档，并通过GitHub外泄数据和获取指令。研究人员指出该组织利用Windows原生工具降低检测率，并通过Dropbox等平台维持控制。... 2026-4-6 16:24:0 | 阅读: 6 | 收藏 | The Hacker News - thehackernews.com powershell github c2 python korean

Multi-OS Cyberattacks: How SOCs Close a Critical Risk in 3 Steps 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内。首先，我需要仔细阅读文章，理解其主要观点和结构。 文章主要讨论了企业环境中多操作系统攻击的问题。攻击者利用不同操作系统（如Windows、Mac、Linux和移动设备）之间的碎片化安全工作流，使得安全运营中心（SOC）难以有效应对。这导致了验证延迟、可见性不足、升级次数增加以及响应一致性下降等问题。 接下来，文章提出了三个步骤来解决这些问题：1）在早期分类中进行跨平台分析；2）保持跨平台调查在一个工作流中；3）将跨平台可见性转化为更快的响应。解决方案包括使用ANY.RUN Sandbox等工具，以提高效率和减少响应时间。 最后，用户希望总结控制在100字以内，并且不需要特定的开头。因此，我需要简洁地概括文章的核心内容，突出多操作系统攻击带来的挑战以及解决方案。 </think> 文章指出，在企业环境中，攻击者利用多操作系统（如Windows、Mac、Linux和移动设备）的碎片化安全工作流发起攻击，导致SOC团队面临验证延迟、可见性不足、升级次数增加和响应一致性下降等问题。通过跨平台分析、统一工作流和更快的响应措施，企业可以更高效地应对多操作系统威胁。... 2026-4-6 13:0:0 | 阅读: 6 | 收藏 | The Hacker News - thehackernews.com analysis attackers triage threats

⚡ Weekly Recap: Axios Hack, Chrome 0-Day, Fortinet Exploits, Paragon Spyware and More 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户要求直接写描述，不需要开头语。首先，我得通读整篇文章，抓住主要信息。 文章主要讨论了本周网络安全事件，包括npm包被朝鲜黑客攻击，Chrome零日漏洞，TrueConf漏洞等。这些事件显示软件供应链成为攻击目标，漏洞传播速度快，企业需加强安全措施。 接下来，我需要将这些要点浓缩成一句话。确保涵盖关键点：供应链攻击、漏洞利用、企业风险和安全建议。 最后，检查字数是否在限制内，并确保语言简洁明了。 </think> 本周网络安全事件频发，包括npm包被朝鲜黑客入侵、Chrome零日漏洞被利用、TrueConf软件遭攻击等。这些事件凸显软件供应链成为新攻击目标，漏洞传播速度快且影响范围广，企业需加强安全防护措施以应对潜在威胁。... 2026-4-6 12:46:0 | 阅读: 11 | 收藏 | The Hacker News - thehackernews.com 2026 security software phishing stealer

How LiteLLM Turned Developer Machines Into Credential Vaults for Attackers 好的，我现在需要帮用户总结一篇文章，控制在100字以内。首先，我得通读文章，理解主要内容。文章主要讲的是开发者工作站的安全问题，特别是LiteLLM攻击事件。攻击者通过供应链攻击获取了开发者的敏感信息，比如SSH密钥和云凭证。 接下来，我需要找出关键点：攻击方式、影响范围、为什么开发者机器是目标、以及如何防范。然后，我要把这些信息浓缩成简短的句子，确保不超过100字。 可能的结构是先说明攻击事件，然后指出问题所在和建议的解决方案。例如，“文章探讨了开发者工作站的安全威胁，尤其是 LiteLLM 供应链攻击如何导致敏感数据泄露，并建议通过集中化凭证管理、使用短寿命凭证和部署诱饵令牌等措施来减少风险。” 最后检查字数是否符合要求，并确保语言简洁明了。 </think> 文章探讨了开发者工作站作为企业基础设施中最活跃部分的安全威胁，尤其是 LiteLLM 供应链攻击如何导致敏感数据泄露，并建议通过集中化凭证管理、使用短寿命凭证和部署诱饵令牌等措施来减少风险。... 2026-4-6 11:45:0 | 阅读: 10 | 收藏 | The Hacker News - thehackernews.com developer litellm memory agents security

Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools 嗯，用户让我用中文总结一篇文章，控制在100字以内，而且不需要特定的开头。我得先仔细读一下这篇文章，看看主要内容是什么。 文章主要讲的是勒索软件Qilin和Warlock使用一种叫做BYOVD的技术来禁用安全工具。BYOVD是“带漏洞驱动程序”的意思，他们通过恶意DLL来终止超过300个EDR驱动程序。同时，Warlock还利用了其他工具进行横向移动和数据外泄。 我需要把这些关键点浓缩到100字以内。首先提到Qilin和Warlock使用BYOVD技术，然后说明他们如何禁用安全工具，最后提到防御建议，比如只允许可信签名驱动程序，并保持补丁更新。 可能的结构是：Qilin和Warlock利用BYOVD技术禁用安全工具，通过恶意DLL终止EDR驱动，并结合其他工具进行攻击。建议企业采取多层防御措施。 这样大概在100字左右，符合用户的要求。 </think> 勒索软件Qilin和Warlock团伙利用"带漏洞驱动程序"（BYOVD）技术禁用安全工具，通过恶意DLL终止300多个EDR驱动程序，并结合PsExec、RDP Patcher等工具进行横向移动和数据外泄。防御需严格控制驱动签名、实时监控内核活动并及时更新补丁。... 2026-4-6 10:7:0 | 阅读: 17 | 收藏 | The Hacker News - thehackernews.com ransomware security talos byovd warlock

BKA Identifies REvil Leaders Behind 130 German Ransomware Attacks 嗯，用户让我帮忙总结这篇文章的内容，控制在100字以内。首先，我需要仔细阅读文章，抓住主要信息。文章讲的是德国警方破获了REvil勒索软件的主要成员身份，特别是UNKN和Anatoly Sergeevitsch Kravchuk。UNKN的真实身份是Daniil Shchukin，31岁，俄罗斯人。他们涉嫌在德国发动了130次攻击，造成超过3500万欧元的损失。REvil在2021年停止运营，后来俄罗斯和罗马尼亚逮捕了部分成员。 接下来，我需要把这些关键点浓缩到100字以内。重点包括：德国警方、REvil、主要成员身份、Daniil Shchukin、Anatoly Kravchuk、130次攻击、3540万欧元损失、REvil的活动时间、停运和逮捕情况。 要注意不要使用“文章内容总结”这样的开头，直接描述内容。可能的结构是：德国警方破获REvil勒索软件主要成员身份，涉及Daniil Shchukin和Anatoly Kravchuk，两人涉嫌多次攻击及巨额损失，REvil曾活跃至2021年并被执法行动打击。 现在检查字数是否符合要求，并确保信息准确无误。 </think> 德国警方破获REvil勒索软件主要成员身份，包括 Daniil Shchukin 和 Anatoly Kravchuk，两人涉嫌 130 起攻击及 3540 万欧元损失。REvil 曾活跃至 2021 年后停运，并被执法行动打击。... 2026-4-6 06:59:0 | 阅读: 36 | 收藏 | The Hacker News - thehackernews.com ransomware unkn gandcrab shchukin germany

$285 Million Drift Hack Traced to Six-Month DPRK Social Engineering Operation 嗯，用户让我帮忙总结一下这篇文章的内容，控制在100个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。首先，我需要仔细阅读这篇文章，理解其主要内容和关键点。 文章主要讲的是Drift在2026年4月1日遭受的攻击，导致2.85亿美元被盗。这次攻击被归咎于朝鲜的UNC4736黑客组织，他们进行了长达数月的社会工程学操作。攻击者通过伪装成定量交易公司，在多个加密货币会议上接近Drift的贡献者，建立信任后实施了恶意软件攻击。 此外，文章还提到朝鲜通过加密货币盗窃为军事计划筹集资金，并利用社会工程学和供应链攻击来入侵目标。他们的网络间谍活动和恶意软件生态系统也变得越来越复杂，以逃避追查。 总结时，我需要涵盖攻击的时间、金额、幕后黑手、攻击手段以及朝鲜的动机。同时要保持简洁，控制在100字以内。确保信息准确且重点突出。 </think> Drift遭遇2.85亿美元黑客攻击，归因于朝鲜UNC4736组织策划的长期社会工程学行动。攻击者伪装成交易公司，在多国会议上接近Drift员工，建立信任后植入恶意软件。此次事件凸显朝鲜通过加密货币盗窃为军事计划筹款，并利用社会工程学和供应链攻击进行网络间谍活动。... 2026-4-5 18:25:0 | 阅读: 10 | 收藏 | The Hacker News - thehackernews.com drift dprk north korean

36 Malicious npm Packages Exploited Redis, PostgreSQL to Deploy Persistent Implants 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得快速浏览文章，抓住主要信息。 文章讲的是网络安全研究人员发现了36个恶意npm包，伪装成Strapi CMS插件。这些包有不同的payload，用于攻击Redis和PostgreSQL，部署反向shell，收集凭证等。包名都以“strapi-plugin-”开头，看起来像官方插件。恶意代码在postinstall脚本中执行，不需要用户交互。 接下来是攻击的阶段：从Redis RCE到Docker逃逸，再到侦察、数据收集、数据库访问和持久访问。这些攻击可能针对加密货币平台。同时提到了其他供应链攻击的例子，如GitHub和npm的恶意包。 最后提到软件供应链攻击已成为主要威胁，攻击者利用可信供应商和开源软件来扩大影响。 现在我要把这些要点浓缩到100字以内：恶意npm包伪装成Strapi插件，包含恶意payload用于攻击Redis/PostgreSQL、部署反向shell、收集凭证等。包名类似官方插件，通过postinstall脚本执行。攻击者从激进手段转向侦察和数据收集，最终实现持久访问。这可能是一起针对加密货币平台的定向攻击。 </think> 研究人员发现36个伪装成Strapi CMS插件的恶意npm包，包含针对Redis和PostgreSQL的漏洞利用、反向shell部署、凭证收集及持久化植入等payload。这些包通过相似命名迷惑开发者，并利用postinstall脚本在安装时自动执行恶意代码。攻击者从激进手段转向侦察与数据收集，并最终实现持久化访问。这可能是一起针对加密货币平台的定向攻击。... 2026-4-5 05:7:0 | 阅读: 15 | 收藏 | The Hacker News - thehackernews.com strapi nordica malicious database github

Fortinet Patches Actively Exploited CVE-2026-35616 in FortiClient EMS 嗯，用户让我帮忙总结一下这篇文章的内容，控制在一百个字以内。首先，我需要通读整篇文章，抓住主要信息。 文章讲的是Fortinet公司发布了针对FortiClient EMS的一个严重安全漏洞的补丁。这个漏洞被追踪为CVE-2026-35616，CVSS评分9.1分，属于高危。漏洞允许未经认证的攻击者绕过API认证，进而执行恶意代码或命令。 影响的版本是7.4.5到7.4.6，已经发布了热修复补丁，并将在即将发布的7.4.7版本中完全修复。漏洞是由Simo Kohonen和Nguyen Duc Anh发现的，已经被零日攻击利用。 另外，文章提到就在前几天，另一个类似的漏洞CVE-2026-21643也被积极利用。虽然还不清楚是否是同一个威胁行为者所为，但强调了漏洞的严重性，建议用户尽快更新到最新版本。 用户的要求是用中文总结，控制在一百字以内，并且不需要特定的开头。所以我要提炼出关键点：Fortinet修复了FortiClient EMS的高危漏洞CVE-2026-35616，允许未认证攻击者绕过API认证并提权；该漏洞已被野外利用；影响版本7.4.5至7.4.6；已发布热修复；建议用户尽快更新。 </think> Fortinet修复了FortiClient EMS中的高危漏洞CVE-2026-35616（CVSS 9.1），该漏洞允许未认证攻击者绕过API认证并提权。此漏洞已被野外利用，影响版本7.4.5至7.4.6，并已发布热修复补丁。建议用户尽快更新以降低风险。... 2026-4-5 04:32:0 | 阅读: 16 | 收藏 | The Hacker News - thehackernews.com forticlient ems 2026 35616 hotfix

China-Linked TA416 Targets European Governments with PlugX and OAuth-Based Phishing 嗯，用户让我帮忙总结这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。 首先，我需要通读整篇文章，抓住主要信息。文章讲的是一个与中国相关的威胁行为者TA416，从2025年中开始针对欧洲政府和外交组织展开网络攻击。他们使用了多种技术手段，比如网络陷阱、恶意软件分发，以及利用OAuth重定向和微软的云服务来绕过安全防御。 接下来，TA416还转向中东地区，在2026年2月美国、以色列和伊朗冲突爆发后，对那里的政府机构发动攻击。这可能是因为他们想收集与冲突相关的地区情报。 文章还提到TA416和其他集群如Mustang Panda有技术重叠，都使用DLL侧加载来部署恶意软件。PlugX后门程序是他们常用的工具，并且不断更新以逃避检测。 最后，Darktrace的报告指出中国关联的网络行动已经从战略对齐转向更具适应性的身份中心入侵，目的是在关键基础设施中建立长期存在。 现在，我需要把这些要点浓缩到100字以内。要包括时间、目标地区、攻击手段、涉及的其他集群以及PlugX的作用。 可能的结构是：时间范围、目标区域、攻击方法、技术手段、涉及的其他集群以及PlugX的作用。 检查一下是否符合要求：不超过100字，直接描述内容，不使用特定开头。 好的，现在试着组织语言： “自2025年中起，TA416针对欧洲政府和外交机构展开网络攻击，并于2026年扩展至中东地区。攻击利用Cloudflare陷阱、OAuth重定向及恶意档案分发PlugX后门。该组织与Mustang Panda共享技术，并通过DLL侧加载部署恶意软件。” 这样大约80字左右，符合要求。 </think> 自2025年中起,TA416针对欧洲政府和外交机构展开网络攻击,并利用Cloudflare陷阱、OAuth重定向及恶意档案分发PlugX后门。该组织于2026年扩展至中东地区,并与其他集群共享技术,通过DLL侧加载部署恶意软件。... 2026-4-3 17:34:0 | 阅读: 10 | 收藏 | The Hacker News - thehackernews.com ta416 plugx european microsoft proofpoint

Microsoft Details Cookie-Controlled PHP Web Shells Persisting via Cron on Linux Servers 好的，我现在要帮用户总结这篇文章的内容，控制在100字以内。首先，我需要快速浏览文章，抓住主要信息。 文章提到微软安全团队发现网络攻击者利用HTTP Cookies作为控制通道，在Linux服务器上使用PHP木马实现远程代码执行。这种方法隐蔽性强，因为Cookies是正常网络流量的一部分，不容易被检测到。 接着，文章详细描述了攻击者如何利用Cookies来触发恶意功能，包括使用多个混淆层、分段数据重建组件以及使用单个Cookie值作为触发器。攻击者还利用cron作业来保持持久性，即使恶意代码被删除也会重新创建。 微软建议采取多因素认证、监控异常登录、限制Shell执行等措施来防御这种威胁。 现在，我需要将这些要点浓缩到100字以内。重点包括：攻击者利用Cookies作为控制通道，隐蔽性强，利用合法执行路径和cron作业保持持久性，建议采取的安全措施。 确保语言简洁明了，不使用“文章内容总结”等开头词。 </think> 网络攻击者利用HTTP Cookies作为控制通道，在Linux服务器上通过PHP木马实现远程代码执行。这种隐蔽技术通过Cookie值触发恶意功能，并结合cron作业维持持久性。建议采取多因素认证、监控异常活动和限制Shell执行等措施防御此类威胁。... 2026-4-3 15:32:0 | 阅读: 4 | 收藏 | The Hacker News - thehackernews.com php malicious microsoft loader remote