安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员在PHP的Packagist仓库中识别出了6个发布在ophimcms命名空间下的恶意软件包。这些包模仿了OphimCMS的命名规范，这是一款专门用于电影流媒体网站的越南语Laravel开源内容管理系统。这6个软件包均携带了被植入恶意代码的JavaScript资源，主要伪装成合法的jQuery库。其恶意行为包括流量劫持、数据外泄、广告注入等。截至报告发布时，这些软件包在Packagist上仍处于活跃状态。研究人员已向Packagist安全团队提交了下架请求。

研究人员发现，LeakNet勒索组织正在利用ClickFix技术（一种通过伪造错误提示，诱导用户手动运行恶意命令的社会工程学手段）通过被攻击的合法网站传播恶意文件。研究人员识别出一种基于Deno构建的分阶段C2加载器，该加载器主要在内存中执行载荷。在所有已确认的LeakNet相关事件中，研究人员发现攻击者会进行相同的后期渗透行为。

研究人员对Payload勒索软件Windows版本的二进制文件进行了逆向分析，该勒索软件采用Curve25519密钥交换配合ChaCha20对称加密，每个文件的私钥都会从内存中擦除。如果没有攻击者的私钥，被加密的文件无法恢复。其加密方案、终止进程列表和二进制结构均与2021年9月泄露的Babuk构建器一致。该勒索软件具有Windows和ESXi双平台版本，并且使用一个名为“MakeAmericaGreatAgain”的互斥量。

苹果公司发布了首个后台安全改进更新，旨在修复iPhone、iPad和Mac上一个编号为CVE-2026-20643的WebKit漏洞，且无需进行完整的操作系统升级。这是苹果首次通过其全新的后台安全改进功能推送安全修复程序。该功能用于在正常软件更新周期之外，交付小型的带外补丁。CVE-2026-20643漏洞允许恶意网页内容绕过浏览器的同源策略。苹果表示，该漏洞是Navigation API中的一个跨域问题，目前已通过改进输入验证得到解决。

俄罗斯城市彼尔姆在经历上周的网络攻击后，现已恢复其停车缴费系统。此前，该攻击导致服务下线，迫使全市临时实行了数日的免费停车。彼尔姆市当局确认，系统现已全面恢复运行，所有支付方式均已恢复正常。据当地官员称，此次服务中断是由大规模分布式拒绝服务攻击引起的，攻击流量压垮了该市的自动化停车缴费基础设施。目前尚无攻击组织声称对此负责。

密西西比大学医学中心（UMMC）在2月底遭受网络攻击，并于3月2日全面重新开放。Medusa勒索组织声称对此次攻击负责，并索要80万美元的赎金。此外，该组织声称对新泽西州的帕塞伊克县发动了攻击，同样索要80万美元的赎金。该县两周前曾表示，其正在处理一起导致全县政府办公室电话线路和IT系统瘫痪的恶意软件攻击事件。