Slack冒充Linux Foundation高层,开源开发者正被“熟人社工”精准收割

最新披露显示，攻击者正在Slack中冒充Linux Foundation知名社区负责人，对开源开发者发起社工攻击。事件最先由OpenSSF高严重度通报公开，受影响社区包括Linux Foundation旗下的TODO Group等开源协作空间。与传统钓鱼不同，这次攻击不是广撒网邮件，而是伪造熟人身份后私聊发送链接，再通过Google Sites等看似无害的平台承载钓鱼内容。它的危险之处在于，攻击者不靠0day，而是靠“你以为认识这个人”。当越来越多开发协作、项目管理和供应链沟通发生在Slack、Discord这类即时通信平台上，身份伪装本身就足以变成新的供应链攻击入口。

CISA已将Ivanti Endpoint Manager Mobile代码注入漏洞CVE-2026-1340加入KEV目录，意味着该漏洞已经进入真实攻击。公开信息显示，该问题可让远程攻击者在未认证状态下实现代码执行，而EPMM本身掌握企业移动设备的高权限，一旦服务器失守，攻击者就可能批量下发恶意配置或进一步控制大量终端，联邦机构被要求在4月11日前完成修补。

GitLab于4月9日发布安全更新，修复多个高危漏洞，涉及WebSocket命令执行、Terraform状态锁接口DoS、GraphQL查询滥用，以及Code Quality报告中的恶意代码注入等问题。公开信息显示，受影响的是自管版CE和EE实例，官方建议尽快升级到18.10.3、18.9.5或18.8.9。很多团队对GitLab的安全理解还停留在“代码仓库本身”，但这次补丁说明，现代代码平台早就不只是存代码，它同时承载CI/CD、Terraform状态、分析报表和权限协作。一旦这类平台被打穿，受影响的也不只是仓库内容，而是整个研发流水线和交付链路。对企业研发部门来说，这类补丁属于必须优先处理的高风险项。

SonicWall最新公告显示，SMA 1000系列安全接入设备存在4个漏洞，其中最严重的问题可让已拥有只读权限的攻击者通过SQL注入提权为主管理员，另外几项缺陷还可能导致用户名枚举和基于TOTP的一次性口令认证被绕过。官方表示，目前暂无在野利用证据，但受影响设备本身承担远程办公和安全接入网关职责，一旦被攻破，攻击者就不只是拿下一台设备，而是可能拿到进入企业内网的关键入口。对很多企业来说，远程办公网关本来就是“边界最后一层门”，而这次漏洞说明，门本身如果不稳，MFA也未必能兜底。

Palo Alto Networks已为Cortex XSOAR和XSIAM中的Microsoft Teams集成发布高优先级修复。漏洞编号为CVE-2026-0234，问题在于加密签名验证不当，攻击者可伪造签名，在无账号、无密码、无用户交互的情况下访问并篡改受保护数据。由于XSOAR和XSIAM本身就是安全自动化与响应平台，平台里存放的往往是高敏告警、工单、响应剧本和处置策略，因此这类漏洞的威胁明显大于普通插件缺陷。它提醒企业一个很现实的问题：安全产品不是天然安全区，越是握有权限、资产和处置能力的平台，一旦出事，破坏力越大。

美国多个联邦机构联合发出警报，称美国关键基础设施中的工业控制系统正遭受来自黑客行为者的攻击，已波及能源、水务等行业，并造成系统破坏和经济损失。CISA同步发布的联合通告也提到，相关活动已导致多个关键基础设施领域的PLC遭到恶意操作和中断。与过去“以窃密为主”的APT活动不同，这次预警更强调“破坏性后果”本身，也就是攻击者不只是潜伏，而是直接动手影响现场控制逻辑。对工控场景而言，最危险的从来不是IT系统被看见，而是控制命令被改写。

OpenAM存在高危远程代码执行漏洞CVE-2026-33439，CVSS评分9.8。公开信息显示，攻击者可通过发送精心构造的恶意序列化数据，在无需认证的情况下实现远程代码执行，目前PoC和技术细节均已公开。OpenAM长期用于统一身份认证和单点登录场景，本身处于企业身份体系核心，一旦被利用，影响不会停留在单个服务节点，而可能顺着认证链路扩大到更多应用和账号系统。对很多机构来说，身份平台属于“平时最不显眼、出事时最致命”的基础设施，这类漏洞不应被当作普通中间件补丁来处理。

奇安信CERT 发布风险通告称，Apache ActiveMQ存在远程代码执行漏洞CVE-2026-34197，CVSS评分8.8。根据披露，攻击者可通过Jolokia API调用addNetworkConnector操作，利用`vm://`传输加载远程Spring XML配置并执行任意命令。消息中间件往往被企业视作“后台基础能力”，但它实际连接着大量业务系统、异步任务和服务通讯。一旦ActiveMQ这类组件被打穿，风险就不是单点服务故障，而是可能沿着消息通道扩散到多个上下游系统。对使用老版本自管消息队列的环境来说，这类漏洞属于典型的“平时不显眼，出事影响全局”。

最新分析显示，一种名为EvilTokens的新型钓鱼即服务平台正在快速扩散。它主打微软设备码钓鱼能力，内置Adobe、DocuSign、SharePoint、OneDrive、语音邮件、密码过期提醒等多种高仿模板，并把页面内容用AES-GCM加密加载，以规避安全检测。更值得警惕的是，平台不仅能自动捕获访问令牌和刷新令牌，还可借Graph API、Azure接口和PRT转换能力展开深度侦察，并辅助后续商业邮件欺诈。

4月9日报道，有黑客声称从一处国家级超级计算环境窃取了超过10PB数据，外界怀疑目标可能是天津超级计算中心。披露样本据称涉及军工文档和科研项目设计资料。需要强调的是，从现有公开信息看，这一事件仍以攻击者说法为主，专家对“完整失陷”尚未完全确认，但有审阅样本的人士认为，泄露数据整体特征与天津的大型超级计算中心环境大体一致。如果后续被证实，这将不仅是一次规模惊人的数据事件，也会把“集中式科研和工业算力平台”的安全问题推到更高位置，因为这类平台往往同时承载科研、工业和防务相关任务。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除