文章总结： 本文综述了近期多项网络安全事件，涵盖京东云路由器严重漏洞、OfficeAI供应链攻击及Trust钱包资产被盗等案例。同时披露了ClickFix社会工程攻击、无文件恶意软件及SQLServer勒索潮。建议用户立即修补高危漏洞，警惕钓鱼诈骗，并加强终端权限管理与数据备份，以应对日益复杂的网络威胁。 综合评分： 88 文章分类： 漏洞分析,威胁情报,恶意软件,社会工程学,供应链安全

京东云路由器曝严重漏洞，黑客可直接获取 root 权限

汇能云安全

2026年1月8日 10:40 广东

01月08日，星期四，您好！中科汇能与您分享信息安全快讯：

01

京东云路由器曝严重漏洞，黑客可直接获取 root 权限

京东云旗下多款主流NAS路由器被曝出一个编号为CVE-2025-66848的严重安全漏洞，其CVSS评分高达9.8分。该漏洞源于一个未受保护的API接口（/api/joylink），会泄露设备的MAC地址和唯一标识符（feedid）。攻击者利用这些信息，可通过特定算法生成有效的管理员令牌，从而完全绕过身份验证机制。

获取令牌后，攻击者可重置设备密码并成功登录。更为严重的是，设备动态域名解析（DDNS）服务中存在二次命令注入漏洞。攻击者通过构造特制请求，可强制路由器与其控制的服务器建立连接，最终远程获取设备的最高权限（root权限）。受影响的型号包括AX1800、AX3000、AX6600等多款产品及其旧版固件。安全报告指出，攻击者借此可监听流量、植入恶意软件或攻击内网其他设备，建议用户立即检查并升级固件。

02

新的 ClickFix 攻击利用虚假的 Windows 蓝屏死机界面诱骗用户执行恶意代码

一种名为“PHALTBLYX”的复杂恶意软件活动正针对酒店业组织，其攻击链始于冒充Booking.com的钓鱼邮件。邮件谎称有紧急预订取消和高额费用，诱导用户访问高度仿冒的钓鱼网站。当受害者点击网站上的刷新按钮时，浏览器会显示一个全屏的虚假Windows蓝屏死机（BSOD）动画，并诱导用户按照屏幕指示操作，从而在不知情的情况下执行了攻击者预先复制的恶意PowerShell命令。

此次攻击代表了“点击修复”社会工程手段的升级，它依赖手动用户操作而非自动化脚本，能有效规避许多安全控制。恶意命令会利用微软合法的MSBuild.exe工具加载远程项目文件，借此禁用Windows Defender并最终部署一个定制的DCRat远程访问木马。该木马功能全面，能窃取系统信息、进行键盘记录并下载更多恶意载荷。攻击中出现的西里尔字母痕迹暗示了攻击者的来源，安全专家建议加强对员工的社会工程培训，并监控异常的系统工具调用。

03

OfficeAI助手遭供应链攻击，投递恶意插件影响海量终端

奇安信威胁情报中心披露，国内拥有海量用户的“OfficeAI助手”软件遭遇供应链攻击。其2024年5月发布的3.1.10.1版本中，被植入了恶意下载逻辑，会从远程服务器下载并加载一个带有正规数字签名（但与官方不同）的恶意组件。该组件已活跃长达一年半，估计影响了国内近百万台终端。

此次攻击的最终目的是在用户浏览器中植入名为“Mltab”的恶意插件。该插件功能强大，会收集用户活跃度、访问网站等行为信息，并劫持浏览器的新标签页、搜索链接及页面内容，将流量导向攻击者控制的推广页面。仅此恶意插件已被安装超过21万次。攻击者针对Edge、Chrome、QQ浏览器等至少六款主流浏览器。目前，相关恶意组件已能被安全软件检测，但恶意插件在部分官方应用商店仍未下架。

04

Trust Wallet浏览器扩展遭入侵，700万美元资产被盗

加密货币钱包服务商Trust Wallet发布公告，确认其谷歌浏览器扩展程序遭入侵，导致近3000个钱包地址被盗，损失约700万美元。事件起因是攻击者利用泄露的谷歌应用商店API密钥，绕过官方发布流程，上传并成功审核了一款内置窃取脚本的恶意版本扩展程序。

Trust Wallet已建议用户立即更新扩展，并撤销了相关API权限，同时与合作伙伴关停了攻击者的数据窃取服务器。然而，攻击者并未收手，随后又发起了伪造Trust Wallet官方的钓鱼攻击，试图诱骗用户泄露钱包助记词。目前，Trust Wallet已启动对受害者的资金赔付工作，并再次警示用户务必通过官方渠道更新，切勿向任何人泄露私钥或助记词。

05

CloudEyE MaaS下载器和加密器感染全球10万+用户

网络安全公司ESET的研究人员披露，一款名为CloudEyE的恶意软件即服务（MaaS）下载器和加密器正在全球范围内迅速传播，仅在2025年下半年就被检测到超过10万次感染，激增30倍。该服务允许技术能力不强的攻击者租用其基础设施，来分发Rescoms、Formbook、Agent Tesla等其他高危恶意软件。

CloudEyE采用复杂的多阶段投递策略以规避检测。初始阶段通过带有社会工程性质的钓鱼邮件传播，邮件常伪装成发票、包裹通知等商业信函，并针对中东欧地区使用本地化语言。一旦执行，它会下载一个加密器组件，对最终的有效载荷进行混淆和加密。这种“服务化”和高度隐匿的特性，使其成为网络犯罪分子的热门工具，对企业安全构成严重威胁。

06

利用代码混淆的窃密软件低价售卖，威胁Discord与浏览器数据安全

一款名为VVS Stealer的新型信息窃取恶意软件正在地下网络犯罪市场传播。该软件通过专业的PyArmor工具对自身Python代码进行混淆，能有效规避基于静态特征的杀毒软件检测，自2025年4月起在Telegram平台以低至每周10欧元的订阅制出售。它不仅能窃取Discord账户令牌和浏览器保存的密码、历史记录，还会通过注入攻击劫持用户的活跃会话。

更值得警惕的是，此类信息窃取软件的危害已超出个人数据丢失。安全研究指出，攻击者利用其窃取到的企业管理员凭证，进一步入侵并控制了大量合法企业的服务器基础设施，将其作为托管后续钓鱼攻击的“跳板”，形成了一个持续循环、难以阻断的犯罪生态，对普通用户和企业都构成了复合型威胁。

07

美国房地产企业遭“无文件”恶意软件潜伏，为勒索攻击铺路

网络安全公司披露，美国一家大型房地产公司遭遇了一次高度隐匿的网络入侵。攻击者使用的“Tuoni”命令与控制恶意软件采用了包括隐写术（将恶意代码隐藏在图片中）和“仅内存执行”在内的先进规避技术。该恶意软件全程不在硬盘上写入任何文件，实现了完全在内存中运行的“无文件”攻击，从而绕过了依赖文件扫描和行为分析的传统安全产品。

此次攻击属于针对高价值目标的精准渗透，目的在于长期潜伏。一旦植入成功，该恶意软件能在网络内部悄无声息地活动，持续窃取各类登录凭证并维持长期访问权限。这种潜伏为攻击者未来发动更具破坏性的勒索软件攻击或数据窃取活动铺平了道路，突显了当前高级持续性威胁（APT）的隐蔽性和危害性。

08

SQL Server数据库攻击激增300%，制造业等多行业面临勒索威胁

近期，针对微软SQL Server数据库的网络攻击呈爆炸式增长。安全监测数据显示，2025年针对暴露在互联网上的SQL Server实例的攻击尝试激增了超过300%。攻击者主要利用弱密码暴力破解和未及时修补的已知高危漏洞（如CVE-2019-1068）获取数据库控制权，制造业、零售业及法律行业成为重灾区。

成功入侵后，攻击流程高度自动化，攻击者会迅速部署后门工具，并最终运行Mallox、Trigona等勒索软件，对核心数据库文件及备份进行加密勒索，同时禁用系统的恢复功能。面对严峻威胁，安全专家紧急建议企业立即检查并限制数据库的公网暴露、强制使用高强度密码、及时安装所有安全补丁，并严格执行离线备份策略。

09

伪造续费通知与3D验证，WordPress钓鱼骗局借Telegram外流支付信息

安全研究员揭露了一起针对WordPress网站管理员的新型钓鱼诈骗。攻击者发送伪装成“域名续费即将到期”的邮件，诱使收件人访问高度仿冒WordPress官方页面的虚假支付网站。该网站不仅收集用户输入的信用卡号、安全码等静态信息，还通过伪造的“3D安全验证”流程，反复诱骗受害者提交银行发送的动态短信验证码。

该骗局的最大特点在于其独特的数据外泄渠道。所有窃取到的支付信息和验证码均不经过传统服务器，而是通过后台脚本直接传输至攻击者控制的Telegram机器人。这种利用合法即时通讯应用作为数据通道的方式，所需基础设施成本极低，且更难被安全人员追踪和阻断。专家提醒用户，对任何未明确提及具体域名的“续费通知”都应保持高度警惕。

10

伊顿紧急修补UPS监控软件高危漏洞，防范关键电源系统被劫持

全球知名电源管理厂商伊顿（Eaton）于2025年圣诞夜发布紧急安全公告，披露其UPS监控软件（Eaton UPS Companion）存在两个高危漏洞。其中最严重的漏洞允许攻击者通过“DLL劫持”方式，在运行软件安装程序的系统上执行任意代码，获得系统控制权。该软件用于监控和维护关键的不间断电源（UPS）设备。

这些漏洞影响3.0版本之前的所有软件版本，一旦被利用，可能危及监控关键电力基础设施的计算机系统。伊顿公司将整体风险评定为“高危”，并强烈敦促所有用户立即将软件升级至已修复漏洞的3.0或更高版本。此次事件凸显了关键工业控制软件的安全性对基础设施稳定运行的重要性。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《京东云路由器曝严重漏洞，黑客可直接获取 root 权限》