Linux 内核高危集群、供应链大规模投毒、银狐木马 AI 化.
漏洞风暴
- Linux 内核高危集群:5 月密集披露 CopyFail、Dirty Frag、ssh-keysign-pwn 等本地提权漏洞。CopyFail(CVE-2026-31431) 已被 CISA 列入已知被利用漏洞目录,攻击者可利用页缓存污染机制获取 root 权限,云服务器与容器环境风险极高。
- 边界设备沦陷:Palo Alto PAN-OS CVE-2026-0300(CVSS 9.3)正被野外利用,攻击者可通过门户在防火墙上实现 RCE;Apache HTTP/2 CVE-2026-23918 存在 DoS 及潜在 RCE 风险。
- AI 基础设施风险:Ollama 框架 CVE-2026-7482(Bleeding Llama) 暴露约 30 万台服务器,可导致内存数据与 API 密钥泄露。
供应链与数据泄露
- npm 遭“沙虫”投毒:攻击者控制官方维护者账户,批量发布 300+ 恶意包(600+ 版本)。具备蠕虫式自我复制能力,窃取 CI/CD 环境中的 GitHub Token、K8s 凭据后,利用权限二次篡改其他包。
- GitHub 源码与多国数据:TeamPCP 组织声称窃取约 4000 个 GitHub 内部仓库源码;暗网现大规模数据兜售,涉及 Meta Llama 模型源码(219GB)、巴西 iFood(4384 万用户)、菲律宾陆路交通局(1400 万公民)等。
恶意软件与钓鱼
- 银狐木马 AI 化:黑产利用 AI 工具批量生成高仿真钓鱼站(仿 WPS、Chrome、VPN),结合 SEO 投毒诱导下载。木马注入系统进程实现隐蔽远控,近期新增“违纪名单”等社工诱饵。
- Lazarus 无文件攻击:朝鲜黑客组织使用 RemotePE 新型 RAT,全程在内存运行(无文件落地),通过伪造交易链接针对加密货币企业与银行。
- 热点诱饵:黑客利用《GTA6》延期热度,分发伪装成“测试版/破解版”的恶意软件与虚假密钥钓鱼。
防御建议
- 极速修补:优先修复 Linux 内核(CopyFail)、Palo Alto PAN-OS 及 Apache HTTP/2 漏洞;对无法重启的服务器部署热补丁。
- 依赖锁死与审计:紧急审计 npm 等依赖包,移除非必要权限;对开源组件实施哈希校验与 SBOM(软件物料清单)管理。
- 零信任访问:严格限制边界设备(防火墙)管理面公网暴露;对内部凭证实施最小权限原则,防范供应链蠕虫横向移动。