安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员发现疑似国家支持的Harvester APT组织开发了一种新型Linux后门GoGra，利用Microsoft Graph API和Outlook邮箱作为隐蔽C2通道。该组织至少自2021年起活跃，此前主要使用Windows间谍工具，此次扩展至跨平台能力表明其工具集持续进化。数据显示印度和阿富汗为主要目标区域，与Harvester历史上针对南亚的间谍活动一致。安全团队建议相关地区组织加强邮件过滤与终端检测。

开源密码管理器Bitwarden的CLI工具遭到入侵，系Checkmarx持续供应链攻击活动的一部分。攻击者利用Bitwarden CI/CD流水线中被入侵的GitHub Action，在bw1.js文件中植入恶意载荷，通过相同C2端点窃取GitHub令牌、AWS/Azure/GCP云凭证及SSH密钥等敏感信息，并利用Dune主题命名规则创建公共仓库进行数据外泄。安全团队建议受影响用户立即移除恶意包、轮换全部凭证并审查CI日志。

安全公司披露，WordPress Breeze Cache缓存插件存在严重漏洞CVE-2026-3844，已被黑客积极利用。该插件拥有超40万活跃安装，由Cloudways开发。漏洞源于"fetch_gravatar_from_remote"函数缺少文件类型验证，未经身份验证的攻击者可上传任意文件，导致远程代码执行及网站完全接管，CVSS评分高达9.8分。受影响版本为2.4.4及更早版本，Cloudways已在2.4.5版本中修复。尽管新版本下载量约13.8万次，但启用该功能的网站数量未知，漏洞风险仍存。

Checkmarx KICS基础设施即代码分析工具遭到供应链攻击。攻击者入侵了官方Docker镜像及VS Code、Open VSX扩展，植入名为"mcpAddon.js"的恶意MCP插件组件，窃取GitHub令牌、云凭证、npm令牌、SSH密钥及Claude配置等敏感数据。TeamPCP黑客曾宣称对此负责，但研究人员表示归因证据不足。Checkmarx已发布安全公告，确认恶意程序已删除、泄露凭证已轮换，并在外部专家协助下展开调查。

继Bluesky之后，去中心化社交媒体平台Mastodon也遭遇大规模分布式拒绝服务攻击。攻击针对Mastodon旗舰服务器Mastodon.social，造成平台分类为"重大中断"的故障。根据Mastodon状态页面，DDoS攻击于4月20日下午1点左右开始，下午4点左右缓解措施部署完成，网站恢复访问。Mastodon和Bluesky在Elon Musk收购X（原Twitter）后人气激增，定位为去中心化的替代平台。

荷兰化妆品品牌Rituals披露其My Rituals会员数据库遭攻击，客户个人信息被盗。公司于本月早些时候发现未经授权下载会员数据后披露此事件。Rituals已通知相关当局并阻断攻击者访问，尚未发现被盗信息被泄露到网上的证据。泄露数据包括全名、电子邮件地址、电话号码、出生日期、性别、家庭地址，但不包括密码或支付信息。