2026-04-26 05:24:19 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周安全事件频发，Vercel平台遭黑客入侵，暴露第三方AI工具和OAuth权限管控风险；霍尔木兹海峡出现加密货币过路费诈骗；恶意TikTok视频下载器扩展窃取13万用户数据；黑客入侵美国最高法院等政府系统；法国证件管理局1900万公民信息泄露。关键发现包括第三方服务成攻击跳板、权限管理漏洞突出、社会工程学威胁加剧。建议加强账号权限排查、轮换API密钥、谨慎安装浏览器扩展、警惕钓鱼诈骗。 综合评分： 72 文章分类： 威胁情报,数据安全,社会工程学,漏洞分析,网络安全

cover_image

【火绒安全周报】Vercel遭黑客入侵/黑客多次入侵美最高法院

火绒安全火绒安全

火绒安全

2026年4月24日 17:02 北京

在小说阅读器读本章

去阅读

主流网页部署平台Vercel遭黑客入侵

4月20日，网页部署平台 Vercel 证实遭黑客入侵，涉事者疑似ShinyHunters组织成员，正出售含员工姓名、邮箱等数据。此次攻击通过遭入侵的第三方AI工具突破，其Google Workspace OAuth应用被大范围攻破，波及数百机构。Vercel 称仅少量客户受影响，已公布入侵指标，并建议用户核查操作日志、轮换 API 密钥与环境变量，加强账号权限排查，防范敏感数据持续泄露。

相关链接：

https://www.ithome.com/0/940/818.htm

第三方AI工具成入侵跳板 OAut权限安全需严加管控

霍尔木兹海峡惊现过路费诈骗

据中新网援引路透社消息，希腊海事风险管理公司MARISKS发出预警，有诈骗分子冒充伊朗相关当局，向途经海峡的航运公司发送欺诈信息，以船只安全通行为由，要求企业使用比特币、泰达币等加密货币支付所谓“清关费”。该公司表示，4月18日在海峡遇袭的船只中，至少有一艘曾遭遇此类诈骗。此类海上新型诈骗手段隐蔽性强，极易给航运企业造成经济损失，相关方需提高警惕，核实信息真伪，避免转账受骗。

相关链接： https://finance.sina.com.cn/wm/2026-04-21/doc-inhvhmie4967091.shtml

TikTok视频下载器扩展窃取13万用户数据

近日，至少12款伪装成TikTok视频下载器的恶意浏览器扩展程序在Chrome、Edge商店传播，超13万用户受影响。这些扩展共用同一代码库，表面可正常下载视频，实则暗中追踪用户行为、收集设备指纹等数据。攻击者利用远程动态配置机制，在安装数月后开启恶意功能以绕过应用商店审核，部分扩展甚至获得推荐标识。一旦被下架，攻击者便快速改头换面重新上架，形成持续攻击链条，存在严重隐私与安全隐患。

相关链接：

StealTok: 130k Users Compromised by Data Stealing TikTok Video “Downloaders”

伪装扩展暗藏窃密风险插件安装需谨慎甄别

黑客多次入侵美最高法院等机构系统并网上炫耀

近日，尼古拉斯・穆尔因多次非法入侵美国最高法院、退伍军人事务部等政府机构系统，并在社交平台炫耀入侵行为，当地时间18日认罪后被判一年缓刑。穆尔通过窃取账号凭证入侵系统，还在社交账号公开相关信息。其原面临监禁及高额罚款，最终检方建议缓刑处理，他当庭表示认罪悔过。此次事件暴露政府机构系统账号权限管理存在明显安全漏洞。

相关链接：

https://www.ithome.com/0/940/818.htm

法国国家安全证件局证实发生数据泄露事件

法国负责证件管理的政府机构ANTS（France Titres）于近日发生数据泄露事件，涉事黑客声称窃取多达1900万条公民信息，包括姓名、邮箱、出生日期、住址及电话号码等。机构公告称泄露数据暂无法用于登录官方系统，但易被用于钓鱼及社会工程学攻击。目前机构已通报监管部门与网络安全机构，并通知受影响用户，提醒警惕可疑短信、邮件与来电。黑客尚未大范围公开数据，正伺机出售，相关调查仍在进行中。

相关链接：

https://www.bleepingcomputer.com/news/security/french-govt-agency-confirms-breach-as-hacker-offers-to-sell-data/

HUORONG

火绒安全成立于2011年，是一家专注、纯粹的安全公司，致力于在终端安全领域为用户提供专业的产品和专注的服务，并持续对外赋能反病毒引擎等相关自主研发技术。多年来，火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节，拓展了企业对于终端管理的范围和方式，提升了产品的兼容性、易用性，最终实现更直观的将威胁可视化、让管理轻便化，充分达到保护企业信息安全的目的。

求点赞

求分享

求喜欢

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：火绒安全火绒安全火绒安全《【火绒安全周报】Vercel遭黑客入侵/黑客多次入侵美最高法院》