文章总结： 本期动态聚焦供应链风险与高危漏洞。量子计算破解ECC凸显密码迁移紧迫；Xen与CODESYS漏洞链威胁虚拟化及工控环境；Checkmarx与Bitwarden遭供应链攻击，叠加pip及GCC漏洞，暴露第三方依赖隐患；Fast16恶意软件揭露国家级工程破坏。建议企业排查依赖库，强化CI/CD与工控安全防护。 综合评分： 76 文章分类： 供应链安全,漏洞分析,漏洞预警,恶意软件,安全大事件

每日安全动态推送(26/4/29)

原创

admin admin

腾讯玄武实验室

2026年4月29日 16:28 北京

在小说阅读器读本章

去阅读

•  史上最大规模的ECC攻击，赢得1个比特币 – 安全内参 | 决策者的网络安全知识库 https://www.secrss.com/articles/89793

本文核心亮点在于独立研究员 Giancarlo Lelli 利用云端量子计算机成功破解 15 位椭圆曲线密钥，将此类攻击从理论推演迈向了可复现的硬件实验，并揭示了针对全球 2.5 万亿美元数字资产的紧迫威胁。该成果标志着量子计算对现有加密体系的挑战已从基础物理问题迅速转化为工程落地问题，凸显了行业向抗量子密码学迁移的刻不容缓。

•  XSA-487：Xen privcmd 驱动中的 Linux 内核双重释放漏洞绕过 Secure Boot https://seclists.org/oss-sec/2026/q2/249

本文揭示了Xen虚拟化环境中一个高危的Linux内核双重释放漏洞（CVE-2026-31787），该漏洞允许特权用户绕过安全启动锁定机制。尽管目前尚无缓解措施，但官方已发布修复补丁，对于依赖虚拟化安全隔离的企业至关重要。

•  如何通过漏洞组合链为工控平台CODESYS植入后门？ – 安全内参 | 决策者的网络安全知识库 https://www.secrss.com/articles/89763

本文极具时效性地揭示了攻击者如何通过漏洞链（包括新披露的CVE-2025-41660）在广泛部署的CODESYS工业平台中植入持久化后门，即使拥有低权限也能实现完全控制。该研究不仅详细拆解了从绕过认证到利用启动程序替换漏洞的完整攻击路径，更深刻警示了软PLC架构在提升灵活性的同时所面临的严峻安全挑战，是工业控制系统防御领域不可多得的深度技术剖析。

•  Checkmarx 与 Bitwarden CLI 供应链攻击事件 https://sectoday.tencent.com/event/oEQpzZ0BVJfJhgnJ2_T1

2026 年 3 月，黑客组织 TeamPCP 与 LAPSUS$ 发起了一场针对安全开发生态系统的复杂供应链攻击。攻击者首先利用开源漏洞扫描器 Trivy 的漏洞，入侵了 Checkmarx 的 GitHub Actions 工作流、Open VSX 插件及 KICS Docker 镜像，导致 Checkmarx 的源代码、员工数据库及 API 密钥等敏感数据泄露至暗网。随后，攻击者利用被劫持的 CI/CD 管道，成功突破了 NPM 可信发布机制，向 Bitwarden CLI v2026.4.0 包中植入了名为 bw1.js 的恶意载荷。该恶意软件具备独特的意识形态品牌特征，通过预安装钩子窃取 GitHub/npm 令牌、SSH 密钥及云凭证，并利用带有《沙丘》（Dune）主题命名的公共仓库进行数据外泄。尽管 Bitwarden 确认用户保险库数据未受影响，但此次事件暴露了现代软件开发中对第三方工具和自动化流水线依赖的严峻风险，引发了对 CI/CD 管道安全性的广泛关注。

•  CVE-2026-6357：pip 自更新功能存在漏洞，导致新安装模块被意外导入 https://seclists.org/oss-sec/2026/q2/234

本文揭示了 pip 包管理器中一个关键的供应链攻击向量，即其自更新机制可能在安装恶意 wheel 包后意外导入新模块，导致代码执行风险。该文章及时解析了 CVE-2026-6357 的修复逻辑，即通过调整自更新检查顺序至安装前，为 Python 生态系统的依赖安全提供了至关重要的防御策略。

•  Fast16：早于震网病毒的国家级工程软件破坏恶意软件 https://sectoday.tencent.com/event/BNWqzp0B5M25NX6PT-EJ

SentinelOne 研究人员披露了名为 Fast16 的复杂模块化恶意软件，该工具可追溯至 2005 年，比著名的震网病毒（Stuxnet）早出现五年。Fast16 疑似由美国或其盟友开发，旨在针对高价值关键基础设施实施破坏而非间谍活动。该恶意软件通过 svcmgmt.exe 蠕虫传播，包含 Windows 内核驱动、用户态控制器及嵌入式 Lua 5.0 虚拟机，专门攻击 LS-DYNA 和 PKPM 等高精度工程仿真软件。其核心攻击手法是在浮点计算中注入细微且可复现的系统性错误，从而悄无声息地篡改物理模拟结果，可能导致核反应堆或大坝等关键设施的灾难性故障，改写了国家支持网络破坏行动的历史。

•  Samsung ONE 中 CircleConst 张量大小计算的整数溢出漏洞分析：CVE-2026-41667 https://buaq.net/go-412870.html

本文揭示了三星ONE框架中CircleConst张量大小计算时的整数溢出漏洞（CVE-2026-41667），并提供了完整的概念验证模型生成器。该文章极具价值，因为它不仅详细剖析了底层计算逻辑缺陷，还附带可复现的PoC代码，为开发者提供了关键的修复参考。

•  GCC 与 Clang 中远程按需 Include 的讽刺演示：关键供应链风险分析 https://lcamtuf.substack.com/p/a-breakthrough-in-cc-dependency-management

本文以极具讽刺的黑色幽默手法，通过虚构一个允许从网络直接拉取头文件的 GCC/Clang 插件，生动揭示了 C/C++ 供应链中“远程包含”机制若被滥用将导致的灾难性后果。文章在展示技术可行性的同时，以“绝对不要使用”的严厉警告，深刻警示了开发者在追求便利时忽视软件供应链安全的致命风险。

* 查看或搜索历史推送内容请访问： https://sectoday.tencent.com/ * 新浪微博账号： 腾讯玄武实验室 https://weibo.com/xuanwulab * 微信公众号： 腾讯玄武实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯玄武实验室 admin admin《每日安全动态推送(26/4/29)》