文章总结： 本文汇总近期安全动态，包括LinkedIn木马钓鱼、大规模数据售卖及Chrome高危漏洞。重点预警WebLogic满分漏洞、Laravel组件RCE及AI生成恶意软件VoidLink。建议企业及时修补高危漏洞，员工警惕社交工程与钓鱼攻击，开发者注意AI工具安全配置，防范各类网络威胁。 综合评分： 70 文章分类： 漏洞预警,威胁情报,WEB安全,AI安全,社会工程学

攻击者利用LinkedIn职业社交平台分发木马，企业员工沦为内部持久威胁入口

汇能云安全

2026年1月23日 10:00 广东

01月23日，星期五，您好！中科汇能与您分享信息安全快讯：

01

攻击者利用LinkedIn职业社交平台分发木马，企业员工沦为内部持久威胁入口

网络安全公司ReliaQuest发现一场复杂的网络钓鱼活动正滥用LinkedIn平台，针对企业员工分发远程访问木马。攻击者通过LinkedIn发送伪装成商业文件的钓鱼消息，诱使目标下载名为“项目执行计划.exe”等看似合法的WinRAR自解压包。压缩包内包含一个合法PDF阅读器和一个被武器化的DLL文件。当受害者打开PDF时，系统会优先加载同目录下的恶意DLL，这一技术称为“DLL侧载”，从而在可信进程的掩护下秘密执行恶意代码。

这种攻击手法危害极大。攻击者利用专业社交平台的天然信任，绕过了传统的邮件安全防护。成功植入后，恶意软件会在内存中加载Python脚本执行后续操作，并在系统注册表中建立持久化机制，确保每次开机自启。这意味着，一次简单的点击就可能使攻击者获得对员工电脑的长期、隐蔽控制权，为其后续进行内部网络横向移动、窃取敏感数据或部署勒索软件打开了大门，使单一员工的疏忽演变为整个企业网络的重大安全危机。

02

三人非法获取并售卖超十亿条邮箱密码数据，各被判刑三年并处罚金

中国裁判文书网公布一起侵犯公民个人信息罪案件的一审判决。广西男子曾某某通过QQ群下载等方式，非法获取了超过15.2亿条绑定手机号码的邮箱账号及密码数据，存放于其百度网盘，并先后出售给湖南男子刘某某和四川男子罗某某，共获利人民币498元。经抽样验证和测算，三人所持有的数据中，密码正确的有效邮箱账号分别高达约7606万条、7390万条和5526万条。

此案揭示了地下数据黑市的冰山一角及其中巨大的安全风险。尽管犯罪分子获利微薄，但涉及的个人信息规模极其庞大。被盗的邮箱账户密码组合，很可能被用于“撞库”攻击，即尝试登录受害者的其他网络账户（如社交、金融平台），从而引发连锁式的身份盗窃与财产损失案件。江苏省泰州市高港区人民法院认定三人情节特别严重，均以侵犯公民个人信息罪判处有期徒刑三年（缓刑四至五年）并处罚金。该判决体现了中国司法机关对侵犯公民个人信息犯罪的严厉打击。

03

谷歌紧急发布Chrome 144版本更新，修复V8引擎高危竞争条件漏洞

谷歌于2026年1月21日向稳定通道用户推送了Chrome 144版本更新，紧急修复了V8 JavaScript引擎中的一个高危漏洞。该漏洞被追踪为CVE-2026-1220，被评定为“高危”级别，是一个竞争条件问题。当用户访问包含恶意代码的网页时，攻击者可能利用此漏洞引发内存损坏，进而导致浏览器崩溃，甚至可能在用户设备上执行任意代码。

V8引擎是Chrome浏览器及众多基于Chromium的浏览器的核心组件，负责解析和执行JavaScript。由于其普遍性，该漏洞一旦被广泛利用，将影响全球数以亿计的用户。谷歌通常会在补丁广泛部署前限制漏洞细节的披露，以防止攻击者快速制作出攻击工具。企业管理员和个人用户都应立即通过“设置-关于Chrome”检查并安装此更新，这是防范潜在攻击最直接有效的手段。此次修复也彰显了谷歌安全团队依赖的自动化模糊测试等工具在捕捉此类底层漏洞中的关键作用。

04

伊朗国家电视台卫星信号遭劫持播放抗议内容，暴露关键广播基础设施安全风险

据多家外媒报道，2026年1月18日，伊朗国家电视台通过Badr卫星传输的多个频道信号遭到劫持，正常节目被中断约10分钟，转而播放了包含抗议画面、呼吁继续示威以及流亡海外反对派人士讲话的视频内容。虽然伊朗官方尚未对此事件公开置评，且视频真实性有待核实，但社交媒体上流传的相关片段引发了广泛关注。

此次事件发生在伊朗国内因经济问题持续动荡的背景下，是一次典型的针对国家关键信息基础设施的直接攻击。卫星信号劫持暴露了广播电视传输链路中的安全脆弱性，攻击者可能通过技术手段侵入信号上行站或干扰卫星转发器。此类攻击不仅能在短时间内扰乱社会秩序、传播特定政治信息，更深远的风险在于，它揭示了敌对势力有能力对国家级的宣传喉舌进行技术渗透和干扰，在关键时刻制造混乱，对国家信息安全和社会稳定构成直接威胁。

05

甲骨文WebLogic代理组件曝出满分10分高危漏洞，企业应用入口面临直接穿透风险

甲骨文公司在其2026年1月关键补丁更新中，披露了一个影响Fusion中间件套件的严重漏洞。该漏洞编号为CVE-2026-21962，CVSS评分为满分10.0，属于最高严重等级。漏洞存在于为Apache HTTP Server和Microsoft IIS提供的Oracle WebLogic Server代理插件中，由于代理层处理请求存在缺陷，未经身份验证的远程攻击者可通过HTTP访问直接利用。

该漏洞危害性极高。由于这些代理组件通常部署在网络DMZ区，作为访问后端核心WebLogic应用集群的入口网关，其失守意味着攻击者可以完全绕过前端安全控制。成功利用不仅可能导致代理服务器本身被完全控制（机密性、完整性丧失），更危险的是可能引发“范围变更”，使攻击者能够以此为跳板，进一步渗透攻击其后端受保护的WebLogic服务器集群，从而危及承载关键业务的企业应用和数据。所有使用受影响版本组件的企业必须立即应用甲骨文提供的补丁。

06

ConnectWise PSA平台修复高危存储型XSS漏洞，恶意备注可致管理员会话遭劫持

IT服务管理软件提供商ConnectWise为其Professional Services Automation平台发布了2026.1版本更新，修复了两个重要安全漏洞。其中最严重的是CVE-2026-0695，这是一个CVSS评分8.7的高危存储型跨站脚本漏洞。攻击者可以在提交“工时记录”时，在备注字段中嵌入恶意JavaScript代码。当拥有更高权限的管理员或财务人员在Web或桌面客户端查看这些工时条目时，隐藏的恶意脚本便会自动执行。

该漏洞的可怕之处在于其“潜伏”与“组合”攻击能力。它属于存储型XSS，恶意代码会持久保存在系统中，等待高权限用户“上门”触发。更危险的是，它与同期修复的CVE-2026-0696（会话Cookie未设置HttpOnly标志）形成完美攻击链：恶意脚本不仅可以运行，还能直接窃取管理员的会话Cookie，从而完全劫持其账户，获得对PSA系统的未授权访问权限。ConnectWise已为云实例自动更新，本地部署用户必须立即手动升级至2026.1版本以消除风险。

07

Laravel流行文件管理组件Livewire Filemanager曝未修补RCE漏洞，大量Web应用面临上传即沦陷风险

安全研究人员在Laravel PHP框架的流行组件Livewire Filemanager中发现一个严重的未授权远程代码执行漏洞。该漏洞编号为CVE-2025-14894，CVSS评分7.5，源于组件未对上传的文件进行类型和MIME验证。攻击者可以轻易上传一个伪装成图片或文档的PHP恶意脚本文件。如果服务器按照Laravel常见做法，执行过php artisan storage:link命令使存储目录可公开访问，那么攻击者直接访问该文件的URL即可触发脚本执行。

此漏洞将直接导致Web服务器被完全控制。攻击者能够以Web服务进程的权限执行任意系统命令，从而读写服务器文件、植入后门、进行内网横向移动。令人担忧的是，截至报告发布，组件开发者尚未确认漏洞也未发布官方补丁，使大量使用该组件的应用持续暴露在风险中。作为紧急缓解措施，管理员必须检查应用是否公开链接了存储目录，并考虑立即移除或严格限制Livewire Filemanager的Web访问能力，直到官方修复发布。

08

LastPass密码管理器用户遭钓鱼邮件围攻，伪造“紧急维护”通知诱骗主密码

知名密码管理器LastPass于2026年1月21日向用户发出警告，一个活跃的钓鱼活动正冒充其官方服务，试图窃取用户的主密码。攻击者发送主题为“LastPass基础设施更新：立即保护您的保险库”、“重要提示：LastPass维护与您的保险库安全”等邮件，制造虚假的紧迫感，声称因维护需要，要求用户在24小时内为密码库创建本地备份。邮件中的链接会将用户引导至伪造的钓鱼网站，进而索要主密码。

LastPass强调，公司绝不会通过邮件索要用户的主密码，也不会设定此类紧急行动的截止日期。主密码是访问所有存储密码的唯一钥匙，一旦泄露，意味着攻击者能解锁受害者的整个数字身份，包括银行、邮箱、社交账户等所有敏感信息。此类钓鱼攻击精准利用了用户对服务提供商的信任和安全担忧，是极为有效的社会工程学手段。用户必须保持警惕，对任何索要凭证的“官方”邮件进行二次核实，绝不点击可疑链接。

09

开源AI编程助手OpenCode曝高危RCE漏洞，开发者本地环境可被远程完全接管

奇安信CERT发布安全通告，开源AI编码代理工具OpenCode在1.0.216之前的版本中存在一个高危远程代码执行漏洞。该漏洞被追踪为CVE-2026-22812，CVSS评分高达8.8分。漏洞成因在于OpenCode默认会启动一个未经身份验证的HTTP服务器，且配置了过于宽松的跨域资源共享策略。这使得攻击者可以通过恶意网页或同一网络下的其他进程，向该本地服务器发送指令，从而以当前用户的权限在开发者电脑上执行任意系统命令。

对于开发者而言，此漏洞威胁极大。OpenCode作为编程辅助工具，通常被授予较高的系统权限以执行代码、访问项目文件。一旦被利用，攻击者不仅能窃取本地所有的源代码、机密密钥和访问令牌，还可能以其为跳板，攻击公司内网开发环境或持续集成系统。鉴于漏洞的技术细节和概念验证代码已公开，利用门槛降低。所有OpenCode用户必须立即升级至1.0.216或更高版本，并检查本地服务暴露情况。

10

新型Linux恶意软件框架VoidLink被曝主要由AI生成，单人一周即可构建复杂攻击平台

Check Point研究团队发现，一个名为VoidLink的新型高级Linux恶意软件框架，很可能是由单人在人工智能模型的辅助下开发完成的。该框架使用Zig语言编写，代码量高达8.8万行，功能齐全，专为长期、隐蔽控制Linux云环境设计。研究人员通过分析泄露的开发文档和代码风格发现，其规划文档结构严谨、格式统一，代码中充满了标准化的调试输出和模板化的响应，这些都是AI生成内容的典型特征。

这一发现标志着网络威胁制造模式的一个潜在转折点。VoidLink展示了AI如何将高级恶意软件的开发门槛和周期急剧降低。过去，构建如此复杂的框架需要协调的专业团队和数月时间，而现在，一名具备一定知识的开发者借助AI，可能在一周内就能完成从规划、编码到测试的全过程。这预示着未来可能出现更多由AI辅助生成的、定制化的高级威胁，使防御方面临的攻击工具更加多样化和“平民化”，从根本上改变了网络攻防的经济学和规模。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《攻击者利用LinkedIn职业社交平台分发木马，企业员工沦为内部持久威胁入口》