文章总结： 本周网络安全周报汇总了2026年2月16日至22日期间的关键事件，包括勒索软件攻击加剧（如Hellcat入侵Ascom窃取44GB数据）、AI驱动的威胁（如利用AI服务入侵600多台FortiGate设备）以及多起重大数据泄露（如PayPal、SpyX和CaliforniaCryobank泄露敏感信息）。同时披露了BeyondTrust、IvantiEPMM、Splunk、WindowsAdminCenter和GoogleChrome等多个严重漏洞的紧急补丁，部分已被积极利用。报告还提及Cloudflare因密码轮换错误导致全球服务中断，凸显可用性安全的重要性。 综合评分： 85 文章分类： 漏洞预警,威胁情报,数据泄露,安全大事件,安全运营

网络安全新闻周报：PayPal 数据泄露、Chrome 零日漏洞、BeyondTrust 远程代码执行漏洞等

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月23日 08:00 辽宁

欢迎阅读本周网络安全周报摘要，本期为您精心汇总了 2026 年 2 月 16 日至 22 日期间最关键的威胁、攻击、泄露和漏洞事件。

本周可谓是今年迄今为止最动荡的一周。勒索软件攻击者加大了对企业目标的攻击力度，Hellcat 组织入侵了 Ascom 的工单系统，窃取了 44GB 的敏感数据。

一名以经济利益为目的的威胁行为者利用多种人工智能服务入侵了 600 多台 FortiGate 设备，这是一起具有里程碑意义的人工智能攻击案例。

在漏洞方面，针对 BeyondTrust、Ivanti EPMM、Splunk Enterprise、Windows Admin Center 和 Google Chrome 中的严重漏洞发布了紧急补丁，其中一些漏洞已经在实际环境中被积极利用。

与此同时，PayPal、SpyX 和 California Cryobank 的数据泄露事件使数百万用户面临身份盗窃风险。本周晚些时候，Cloudflare 因密码轮换失败引发了长达六小时的全球服务中断，这再次提醒业界，可用性本身仍然是安全的核心问题。

威胁情报

本周伊始，Noodlophile 信息窃取程序再次引发关注，该程序的攻击策略已显著演变。与越南 UNC6229 组织有关联的攻击者目前利用虚假招聘信息攻击求职者、学生和数字营销人员，并通过 DLL 侧加载部署多阶段窃取程序和远程访问木马 (RAT)。最新变种还采用了djb2哈希算法和异或 (XOR) 编码，进一步增加了逆向工程的难度。

一种名为 VoidLink 的复杂 Linux 恶意软件框架的出现，成为人工智能辅助威胁开发的令人担忧的案例。该框架使用 LLM 编码代理构建——生产二进制文件中遗留的结构化“Phase X:”标签和详细的调试日志证实了这一点——它结合了跨 AWS、GCP、Azure、阿里云和腾讯云的多云攻击能力以及内核级 rootkit 功能。

研究人员本周也证实，威胁行为者目前正利用 Grok 和 Microsoft Copilot 作为隐蔽渠道进行恶意软件通信，通过将命令伪装成合法的 AI API 调用来绕过传统的 C2 检测。

安全研究人员发现，有 200 个独特的域名与长期活跃的 Raspberry Robin 恶意软件活动有关。该活动自 2019 年以来一直通过受感染的 U 盘传播病毒。这些域名具有三个字符的模式，使用不常见的双字母顶级域名（例如 .wf、.pm、.re），并具有快速流量（Fast Flux）行为，这使得打击和追踪这些域名变得异常困难。

网络攻击新闻

本周最重大的攻击事件是 BeyondTrust 设备中一个关键的远程代码执行 (RCE) 漏洞遭到积极利用。攻击者通过建立 WebSocket 连接并提交畸形remoteVersion值来执行代码。GreyNoise 遥测数据显示，一个 IP 地址————193[.]24[.]123[.]42发动了所有攻击尝试中的 83%。

2月21日，一名以经济利益为目的的威胁行为者证实，他利用多种商业生成式人工智能服务入侵了超过600台FortiGate设备，这标志着人工智能驱动的大规模企业网络基础设施攻击行动出现了里程碑式的案例。

2026年2月21日，Cloudflare遭遇了长达六小时的全球服务中断，导致全球客户受到影响。根本原因是密码轮换错误，该错误引发了Cloudflare多个产品线的广泛服务故障。

Hellcat勒索软件组织继续其猛烈攻击，入侵了Ascom的技术工单系统，窃取了约44GB的数据，其中包括源代码、项目详情、发票和机密文件。该组织利用Infostealer恶意软件窃取的Jira凭证作为初始入侵途径。

数据泄露

PayPal本周披露了一起数据泄露事件，导致客户的社保号码（SSN）、出生日期和企业个人身份信息（PII）泄露。社保号码和企业联系方式的组合构成了身份盗窃和金融欺诈的高风险特征，消费者和商家都可能成为攻击目标。

消费级间谍软件 SpyX 证实了一起影响近 200 万用户的重大数据泄露事件，约 17,000 条明文 Apple 账户凭证被泄露。Have I Been Pwned 网站的 Troy Hunt 验证了泄露记录的真实性，谷歌随后移除了相关的 Chrome 扩展程序。

美国最大的精子库之一——加州精子库（California Cryobank）证实，其遭遇了一起重大数据泄露事件，导致敏感的客户个人身份信息（PII）泄露。此次入侵是通过SQL注入窃取客户记录，同时破坏日志系统以掩盖其踪迹。

漏洞

本周企业和消费者平台都出现了大量重大漏洞披露。以下是本周主要漏洞的汇总 CVE 表格：

| CVE ID | CVSS | 受影响产品 | 描述 | 关联 | | — | — | — | — | — | | CVE-2026-1281 | 9.8 关键 | Ivanti EPMM | 远程代码执行已被积极利用；单个 IP 地址发起了 83% 的攻击。 | 阅读更多 | | CVE-2026-20140 | 高的 | 适用于 Windows 的 Splunk Enterprise | 通过精心构造的请求进行会话劫持 | 阅读更多 | | CVE-2025-26909 | 9.6 关键 | WP Ghost 插件（超过 20 万个网站） | 未经认证的本地文件插入 (LFI) → 远程代码执行 (RCE) | 阅读更多 | | CVE-2025-26512 | 9.9 关键 | NetApp SnapCenter 服务器 | 已验证的权限提升至远程管理员 | 阅读更多 | | 不适用 | 批判的 | Ivanti EPMM（零日漏洞） | 影响企业 MDM 基础架构的两个关键零日漏洞 | 阅读更多 | | 不适用 | 批判的 | Windows 管理中心 | 权限提升可实现对系统的完全控制 | 阅读更多 | | 不适用 | 高的 | OpenClaw AI框架 | 日志投毒漏洞将恶意数据注入 AI 代理日志 | 阅读更多 | | 不适用 | 批判的 | better-auth API 密钥插件 | 绕过身份验证允许未经授权的权限提升 | 阅读更多 | | 不适用 | 高的 | DrayTek路由器 | 针对互联网服务提供商范围内的路由器重启循环的主动攻击 | 阅读更多 |

谷歌本周发布了Chrome浏览器的紧急安全更新，以修复一个高危堆缓冲区溢出漏洞。该漏洞可能允许攻击者使浏览器崩溃或执行恶意代码。

GitLab 发布了针对社区版和企业版的补丁，修复了多个高危漏洞，包括 Web IDE 中的 CVE-2025-7659（CVSS 8.0）和 CVE-2026-0958（高危 7.5），后者可通过资源耗尽实现拒绝服务攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《网络安全新闻周报：PayPal 数据泄露、Chrome 零日漏洞、BeyondTrust 远程代码执行漏洞等》