安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

供应链攻击活动“PhantomRaven”正发起新一轮攻势，针对npm投放了数十个恶意软件包，旨在从JavaScript开发者机器上窃取敏感数据。该活动最初于2025年10月被发现，据称该活动自当年8月起便已运行，并在npm平台上发布了126个恶意包。随后，研究人员发现，在2025年11月至2026年2月期间，PhantomRaven又发起了3波攻击，通过50个一次性账号分发了88个恶意包。一旦机器受感染，恶意软件会收集配置文件信息、CI/CD令牌、机器指纹等敏感信息。最后，被盗数据会通过HTTP GET/POST或WebSocket发送到攻击者的C2服务器。

Elementor旗下的WordPress辅助功能与可用性插件Ally被发现存在一个SQL注入漏洞，该安全漏洞编号为CVE-2026-2313。该插件拥有超过40万次安装，黑客可利用该漏洞在无需身份验证的情况下窃取敏感数据。Wordfence指出，仅当Ally插件已连接到Elementor账户且Remediation module处于激活状态时，该漏洞才可被利用。WordPress.org的数据显示，目前仅有约36%的网站升级到了4.1.0版本，这意味着仍有超过25万个站点存在安全隐患。网站管理员需尽快将Ally升级至4.1.0版本。

微软近日披露了SQL Server中的一个关键零日漏洞，该漏洞允许已通过身份验证的攻击者在受影响的数据库系统中将其权限提升至最高管理级别。该漏洞编号为CVE-2026-21262，在补丁发布前已遭公开披露。微软证实，尽管该漏洞已在公开渠道披露，但目前尚未发现在野外的积极利用行为，并将其可利用性评估为“利用可能性较低”。微软已发布涵盖SQL Server 2016至最新发布的SQL Server 2025的安全更新，安全团队应立即优先安排补丁安装。

医疗技术公司Stryker近期遭到Wiper恶意软件攻击，与伊朗有关联的黑客组织Handala声称对此负责。Handala声称，在抹除该公司网络中的数万台系统和服务器之前，他们窃取了50TB的数据。来自美国、爱尔兰、哥斯达黎加和澳洲的Stryker员工报告证实，其受管辖的Windows和移动设备在深夜被远程抹除。攻击者篡改了公司的Entra登录页面，展示了Handala的标志。Stryker向美国证券交易委员会提交了8-K文件，正式确认了此次网络攻击。

加拿大最大的零售商Loblaw表示，在发现其IT网络中一个受控且非关键的部分存在可疑活动后，目前正在调查一起数据泄露事件。该零售商称，有第三方犯罪分子访问了一些基本的客户信息，例如姓名、电话号码和电子邮件地址。但初步调查显示，密码、健康数据以及信用卡信息并未遭到泄露。公司表示，其旗下的金融服务子公司PC Financial未受此次事件影响，且预计该事件不会对公司的财务业绩产生重大冲击。

一名自称“Grolum”的攻击者表示入侵并破坏了YggTorrent平台。YggTorrent成立于2017年，拥有约660万用户，为用户提供各种盗版媒体的P2P种子搜索和下载服务。在发生安全入侵后，该网站现已宣布永久关闭。YggTorrent证实攻击者窃取了包括用户密码在内的敏感数据。不过，该平台强调数据库中的密码经过了哈希和加盐处理。尽管YggTorrent拥有备份，但该平台仍决定关闭。该平台官方将此次攻击描述为一次经过精心策划、旨在永久消灭该网站的行为。公告还指出，攻击者抽干了用于支付服务器费用的加密货币钱包，涉及金额达数万欧元。