文章总结： 赛欧思周报汇总勒索、供应链与APT攻击、十余高危漏洞、大规模数据泄露、僵尸网络及恶意软件活动，强调及时更新、加固供应链、启用MFA与漏洞修补。 综合评分： 88 文章分类： 威胁情报,漏洞预警,数据泄露,恶意软件,供应链安全

赛欧思一周资讯分类汇总(2026-01-05 ~ 2026-01-10)

SOC

赛欧思安全研究实验室

2026年1月10日 09:30 河南

一周资讯分类汇总：

1、勒索事件：

• 新西兰医疗平台遭黑客入侵，超 10 万用户信息被盗

  新西兰最大医疗平台之一近日遭黑客入侵，超过 10 万名用户的个人健康信息被盗取。一个网名“Kazu”的黑客在“电报”社交平台上以公开或出卖数据为要挟，索要 6 万美元赎金。

  来源: CN-SEC 中文网

• 与俄罗斯有联系的黑客窃取了高度敏感的 Bolttech 数据并索要赎金

  Everest Ransomware 声称从全球保险基础设施平台 Bolttech 截获了约 186GB 的数据。该威胁行为体要求该公司支付赎金。根据 Everest 在其暗网泄漏网站上发布的消息，它截获的数据高度敏感。

  来源: Cybernews

2、攻击事件：

• 知名文本编辑器 EmEditor 官网遭攻陷，官方安装包被植入间谍软件

  知名文本编辑器 EmEditor 官网遭供应链攻击，官方安装包被植入间谍软件，窃取用户凭证、浏览器数据及文件，并安装恶意扩展实现持久化。该扩展具备键盘记录、屏幕截图甚至替换剪贴板中加密货币地址的能力。

  来源: CN-SEC 中文网

• Handala 黑客通过入侵 Telegram 账户攻击以色列官员

  与伊朗有关的黑客组织 Handala 声称，已完全入侵了两名以色列政要的移动设备。该组织声称，在”章鱼行动”中入侵了前总理纳夫塔利·贝内特的 iPhone 13，并泄露了联系人列表、照片、视频以及约 1900 条聊天记录。

  来源: 黑客资讯

• 攻击者仿冒Jackson JSON库入侵Maven Central，发起定向投毒攻击

  攻击者仿冒 Jackson JSON 库，利用命名空间混淆入侵 MavenCentral，注册恶意域名 fasterxml.org，发布木马下载器，通过 SpringBoot 自动执行，连接 C2 服务器下载 CobaltStrike 载荷，1.5小时内被下架。

  来源: CN-SEC 中文网

• Transparent Tribe对印度政府和学术界发起新的远程访问木马攻击

  Transparent Tribe（APT36）利用伪装 PDF 的 LNK 文件发起针对印度政府与学术机构的网络间谍攻击，通过 HTA 脚本加载 RAT，具备环境感知与多杀软适配持久化能力，并能够对受感染的主机进行持续控制。

  来源: CN-SEC 中文网

3、漏洞情报：

• Linux 电池实用程序漏洞允许绕过身份验证并篡改系统

  Linux 笔记本用户被敦促立即更新系统，因一款流行的电池优化工具被发现存在漏洞，可导致身份验证绕过及系统篡改。该漏洞影响自 1.9.0 版本引入的 TLP 电源配置守护进程，该进程通过 D-Bus API 以 root 权限管理电源配置文件。

  来源: GBHackers

• jsPDF 关键漏洞使黑客能通过生成的 PDF 窃取机密信息

  用于在 JavaScript 应用程序中生成 PDF 文档的 jsPDF 库存在一个关键漏洞，该漏洞属于本地文件包含与路径遍历攻击，该漏洞编号为 CVE-2025-68428，严重性评分为9.2。攻击者可以通过将敏感数据包含在生成的文件中，从本地文件系统中窃取这些数据。

  来源: BleepingComputer

• 新的 n8n 漏洞允许攻击者执行任意命令

  在开源自动化和工作流平台 n8n 中发现了一个关键漏洞，该漏洞可允许通过验证的用户在易受攻击的系统上执行任意命令。该漏洞被追踪为 CVE-2025-68668，影响 1.0.0 至 1.999.999 的所有 n8n 版本，CVSS 得分为 9.1。

  来源: GBHackers

• 谷歌警告存在可破坏安全控制的高风险 WebView 漏洞

  谷歌发布了 Chrome 浏览器 143.0.7499.192/.193 版本，以修补 WebView 中的一个高严重性漏洞，该漏洞可能允许攻击者绕过重要的安全策略。该漏洞被追踪为 CVE-2026-0628，对浏览器依赖 WebView 的策略执行框架来阻止恶意内容的用户构成重大威胁。

  来源: GBHackers

• QNAP 工具中的多个漏洞可让攻击者获取秘密数据

  QNAP 已修补其许可证中心应用程序中的多个安全漏洞，攻击者可利用这些漏洞访问敏感信息或中断受影响 NAS 设备上的服务，这些问题被追踪为 CVE-2025-52871 和 CVE-2025-53597。

  来源: Cyber Security News

• Xplora 儿童手表惊现万能钥匙漏洞，黑客可监听通话

  Xplora 儿童智能手表曝高危漏洞，黑客利用通用密钥可无差别攻击设备，窃取聊天记录、查看照片和语音备忘录，还能篡改定位数据，甚至伪装成儿童向家长发送虚假求救信息，厂商初期修复不力，经监管机构介入后承诺更新。

  来源: CN-SEC 中文网

• Apache StreamPipes曝高危漏洞：攻击者可夺取管理员控制权限

  Apache 近日发布安全更新，修复其数据流处理平台 StreamPipes 中的一个关键权限提升漏洞（CVE-2025-47411）。该漏洞允许非管理员用户通过JWT令牌篡改非法获取管理员权限，漏洞源于用户 ID 生成机制的设计缺陷。

  来源: CN-SEC 中文网

• GNU Wget2 漏洞引发远程文件覆盖攻击

  GNU Wget2中发现了一个高危安全漏洞，该漏洞被追踪为 CVE-2025-69194，允许远程攻击者在未经许可的情况下覆盖用户计算机上的文件。该漏洞 CVSS 得分为 8.8（高），表明依赖该工具下载内容的用户面临重大风险。

  来源: GBHackers

• CISA 就 WHILL 型号 C2 轮椅接管漏洞发出警告

  网络安全和基础设施安全局（CISA）发布紧急警告称，WHILL C2 型电动轮椅和 F 型电动轮椅存在严重安全漏洞，攻击者可通过蓝牙劫持设备。该漏洞被追踪为 CVE-2025-14346，CVSS v3 得分为 9.8。

  来源: GBHackers

4、信息泄露：

• 圣彼得堡国立经济大学数据泄露，8 万条记录外泄

  据称，俄罗斯知名公立大学圣彼得堡国立经济大学（UNECON）遭到攻击，该攻击者表示，数据库是“抓取导出”，而非直接通过 SQL 注入获取。数据集包含超过 80000 条记录，被泄露的数据包括：全名、学习小组、学术项目、个人主页 URL、毕业年份。

  来源: Daily Dark Web

• Futurize 系统数据泄露暴露超 100 万条记录

  Futurize Sistemas 据称已遭到入侵，一名在暗网论坛上的威胁行为者正在出售一个容量为 1.2GB 的数据库，声称这是该公司完整表格的全部数据，并特别注明一个名为“tomadores”（借款人/承接人）的表，据称其中包含超过一百万条记录。

  来源: Daily Dark Web

• 摩根记录管理漏洞：Everest 集团声称有 52GB 文件外流

  Everest 勒索软件组织声称已经入侵了 Morgan Records Management 公司，据该组织称被泄露的数据达 52GB，包含约 1512 条记录，其中包括显然与纽约市住房管理局（NYCHA）有关的文件。

  来源: Daily Dark Web

• 疑荷兰光刻机制造商 ASML 发生数据泄露，涉 154 个数据库与磁盘加密密钥

  威胁行为者 “1011” 在暗网社区 BreachForums 上发布帖子，声称已成功入侵荷兰半导体设备巨头 ASML Holding N.V.（asml.com）的数据库系统，并正在泄露约 154 个数据库文件，相关数据据称已以 .SQL 格式公开下载。

  来源: CN-SEC 中文网

• SHOFCO 数据泄露：12.9 万份会员记录被出售

  Shining Hope for Communities (SHOFCO)是肯尼亚一家著名的非营利性草根组织，据称该组织已被入侵，导致敏感的成员数据泄露。一个威胁行为者目前正在一个网络犯罪论坛上以 500 美元的价格出售一个包含 129000 多条记录的数据库。

  来源: Daily Dark Web

• Crimson Collective 声称 BrightSpeed 遭到入侵：100 多万条记录面临风险

  Crimson Collective 组织声称已入侵美国电信和宽带服务提供商 BrightSpeed，据称他们掌握了 100 多万条住宅用户 PII 记录。据称被泄露的数据包括客户主记录：全名、电子邮件地址、电话号码、账单和服务地址、账户状态和网络类型。

  来源: Daily Dark Web

• 威胁者据称声称泄露了带有源代码的 NordVPN Salesforce 数据库

  一个以 1011 为标识符的威胁行为者在一个暗网论坛上公开声称获取并泄露了 NordVPN 开发基础设施的敏感数据。据报道，该漏洞暴露了十多个数据库源代码，被泄露的数据包括 NordVPN 核心系统的源代码库、Salesforce API 密钥和 Jira 令牌。

  来源: Cyber Security News

• 新邦电子遭受 DragonForce 勒索软件攻击

  DragonForce 勒索软件组织声称已入侵 SINBON 电子有限公司，据该行为者称被泄露的数据包括大约 65 万个文件，总计 847.32 GB。泄露的数据集包括财务和会计记录、客户数据和个人信息、生产记录等。

  来源: Daily Dark Web

• 东京 FM 数据泄露：黑客声称 300 多万条记录被盗

  2026 年 1 月 1 日，一个化名为 “victim” 的人或组织宣布他们已经侵入了该公司的私人计算机系统。这次攻击的幕后黑手声称已经窃取了 300 多万条个人记录，包括了个人和技术细节的海量数据。

  来源: HackRead

5、僵尸网络：

• 新型 GoBruteforcer 攻击浪潮瞄准加密货币与区块链项目

  新一轮 GoBruteforcer 僵尸网络恶意软件攻击正瞄准加密货币和区块链项目的数据库，这些数据库位于暴露的服务器上。通常针对暴露的 FTP、MySQL、PostgreSQL 和 phpMyAdmin 服务，全球有超过 50000 台面向互联网的服务器可能易受攻击。

  来源: BleepingComputer

6、恶意软件：

• 一名黑客利用信息窃取程序入侵50家全球公司

  一名伊朗黑客利用 RedLine、Lumma 和 Vidar 等信息窃取病毒获取 50 家全球公司员工的登录凭证，成功入侵未启用多因素认证的企业系统，窃取大量敏感数据，包括军事蓝图和医疗档案。

  来源: CN-SEC 中文网

• 三款恶意 NPM 包瞄准开发者登录凭证

  Zscaler ThreatLabz 的安全研究人员发现三个恶意 npm 包，这些名为 bitcoin-main-lib、bitcoin-lib-js 和 bip40 的包在从 npm 注册库移除前，累计下载量超过 3400 次。

  来源: GBHackers

• APT36 利用恶意 Windows 快捷方式攻击印度政府

  一个疑似民族国家的组织利用恶意 Windows 快捷方式文件发起了针对印度政府实体的网络间谍活动。攻击开始时会发送一个名为 “Online JLPT Exam Dec 2025.zip” 的 ZIP 压缩包，这是一个以考试为主题的诱饵，目的是诱骗官员打开附件。

  来源: eSecurity Planet

• 恶意 Chrome 浏览器扩展泄露 90 万用户的 ChatGPT 和 DeepSeek 聊天记录

  超过 90 万名 Chrome 浏览器用户受到了两个恶意扩展程序的攻击，这两个扩展程序将 ChatGPT 和 DeepSeek 对话秘密渗入攻击者控制的服务器，其中一个流氓扩展甚至获得了谷歌的”精选”徽章。

  来源: GBHackers

• 信息窃取恶意软件助攻击者劫持合法商业基础设施，用于托管恶意程序

  攻击的起始环节为：受害者访问已遭入侵的网站时，页面会弹出模仿谷歌人机验证（reCAPTCHA）或浏览器错误提示的虚假安全弹窗。在绕过传统安全防护措施的同时，将 “卢玛（Lumma）”“维达尔（Vidar）”“斯蒂尔克（Stealc）” 等信息窃取恶意软件直接下载到用户系统中。

  来源: 安全客

• PyArmor 混淆法是一种阻碍静态分析和基于签名的分析的方法

  恶意软件作者继续采用合法的软件保护工具来保护其恶意代码不被安全研究人员发现。VVS Stealer 就是一个典型的例子，它是一个基于 Python 的恶意软件家族，主要针对 Discord 用户。

  来源: GBHackers

• 暗网兜售 NtKiller 恶意软件，可终止杀毒软件并绕过 EDR 防护

  代号 AlphaGhoul 的恶意攻击者在暗网推广 NtKiller 工具，声称可静默关闭主流杀毒软件及绕过 EDR 防护，采用模块化定价策略商业化销售，具备高级规避技术，对传统安全防护构成严峻挑战。

  来源: CN-SEC 中文网

• 影响全球 880 万用户的 DarkSpectre 恶意浏览器扩展活动被揭露

  ShadyPanda 和 GhostPoster 背后的威胁行为体，目前被确认与第三项攻击活动有关，该活动代号为DarkSpectre，已影响了 Google Chrome、Microsoft Edge 和 Mozilla Firefox 的 220 万用户。这三项活动在超过七年的时间里，总共影响了超过 880 万用户。

  来源: 黑客资讯

• 新一波 GlassWorm 恶意软件以带有木马加密钱包的 Mac 为目标

  GlassWorm 活动的第四波攻击目标是 MacOS 开发人员，其恶意 VSCode/OpenVSX 扩展提供了木马化版本的加密钱包应用程序。安装后，该恶意软件试图窃取 GitHub、npm 和 OpenVSX 账户的凭据，以及多个扩展中的加密货币钱包数据。

  来源: BleepingComputer

7、钓鱼事件：

• WordPress 管理员成为续订电子邮件钓鱼欺诈的目标

  一种新的网络钓鱼活动正以 WordPress 管理员为目标，通过令人信服的域名更新电子邮件实时窃取信用卡数据和双因素验证码。这种攻击依赖于紧迫性、精心打造的品牌和多阶段支付工作流程，诱骗受害者交出敏感的财务信息。

  来源: eSecurity Planet

8、国际安全情报：

• 谷歌 Antigravity AI 误执行致用户数据丢失，生成代码一键清空用户整个硬盘

  谷歌新推出的 AI 编程平台 Antigravity 卷入一起数据安全事故。一位来自希腊、无编程背景的摄影师在使用该平台时，其集成的 AI 模型生成并执行了一段错误代码，意外清空了他整个 D 盘数据。

  来源: CN-SEC 中文网

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC《赛欧思一周资讯分类汇总(2026-01-05 ~ 2026-01-10)》