安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

研究人员已确认，Larva-26002组织在2026年持续针对管理不当的MS-SQL服务器发起攻击。该组织此前曾部署过Trigona和Mimic勒索软件。最新确认的攻击活动使用了名为ICE Cloud Client的恶意软件，该工具采用Go语言编写。ICE Cloud中使用的字符串为土耳其语，这与该组织此前在Mimic勒索软件中所展现的语言特征一致。

研究人员对Pay2Key.I2勒索软件的Linux版本进行深度技术分析。该样本最早于2025年8月下旬被检测到，其特点是由配置驱动，执行时需要root级别权限，并且旨在遍历广泛的文件系统范围、对挂载点进行分类，并使用ChaCha20算法以全量或部分模式加密数据。加密模式由配置文件决定，每个文件的密钥都是独立生成并存储在混淆后的数据块中。

研究人员发现由galedonovan账号发布的5个恶意npm软件包，这些恶意软件包旨在对加密货币开发者进行攻击。每个包都对合法的加密库进行了拼写劫持，并将窃取的私钥发送至一个硬编码的Telegram bot。此次攻击活动覆盖了Solana和Ethereum两大生态系统。截至2026年3月23日，攻击者的C2基础设施仍处于活跃状态。

研究人员发现一种新型窃密木马将其命名为Torg Grabber，并在3个月内收集到了334个编译样本。研究人员从二进制文件中提取到40多个信息标签（涵盖了绰号、日期编码的批次ID以及确认的Telegram用户ID），这些“指纹”勾勒出了“恶意软件即服务”（MaaS）客户的轮廓，并表明这是一个包含生成器和控制面板的典型网络犯罪外包行动。

Node.js项目组于2026年3月24日针对长期支持分支发布了关键安全更新。此次更新修复了7个安全漏洞，涵盖了TLS错误处理、HTTP/2流控、加密算法时间泄漏、权限模型绕过以及V8哈希表缺陷，其中多个漏洞可由未经身份验证的远程攻击者触发。官方强烈建议开发者及系统管理员立即升级至已修复版本：v20.20.2、v22.22.2、v24.14.1或v25.8.2。

远程医疗平台供应商OpenLoop Health Inc.报告了一起重大数据泄露事件。根据提交给加利福尼亚州总检察长的泄露公告，OpenLoop Health于2026年1月7日获悉，一名未经授权的第三方进入了其部分系统，并复制了包含敏感数据的文件。取证调查确认，该第三方在2026年1月7日至1月8日期间拥有其网络访问权限。从系统中窃取的文件中包含姓名、地址、电子邮件地址、出生日期、医疗信息等。OpenLoop Health表示，社会安全号码未被访问或窃取。一名代号为“Stuckin2019”的攻击者在黑客论坛上声称对此次事件负责，并宣称获取了160万名患者的信息。OpenLoop Health尚未对此进行公开确认。