安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

安全研究人员披露，一起新的npm供应链攻击感染了36个软件包，并投放名为IronWorm的信息窃取恶意软件。已披露信息显示，该恶意软件以86个环境变量和20个凭证文件为目标，可能涉及OpenAI、AWS、Anthropic、npm凭证、Vault配置文件、SSH密钥和Exodus加密货币钱包文件。IronWorm使用Rust编写，并通过Tor网络与运营方通信。相关活动始于一个被入侵账户，该账户发布包含Rust ELF二进制文件的软件包版本，并将恶意提交推送到存储库。研究人员还发现，恶意软件尝试利用窃取的凭证在npm上发布内容，以推动进一步传播。

安全研究人员披露，Magecart相关攻击活动滥用Stripe API基础设施，托管用于窃取信用卡信息的有效载荷，并传输从结账页面窃取的数据。已披露信息显示，该活动依赖Google Tag Manager和Stripe域名，这两个域名通常被在线商店默认信任。恶意代码嵌入看似合法的GTM容器中，并在购物者到达结账页面时激活。该窃取器以Magento/Adobe Commerce结账页面为目标，收集信用卡号、到期日期、CVV码、客户姓名、账单地址、电子邮件地址和电话号码。相关记录创建于2025年12月24日，表明活动可能至少自该日期起运行。

Cisco发布安全更新，修复Unified Communications Manager中的漏洞CVE-2026-20230。已披露信息显示，该漏洞可被无权限攻击者远程利用，发起低复杂度服务器端请求伪造攻击。攻击者可通过向受影响设备发送特制HTTP请求利用该漏洞，成功后可将文件写入底层操作系统，并进一步将权限提升至root。产品安全团队已注意到该漏洞存在公开概念验证代码，但尚未发现正在被利用或被针对的证据。该漏洞仅影响启用WebDialer服务的系统，而WebDialer默认处于禁用状态。相关公告将该漏洞安全影响评级定为“严重”。

美国多家政府机构联合通报，黑客组织正在攻击暴露在互联网上的自动储罐计量系统。已披露信息显示，相关ATG系统用于能源、化工、食品和农业、交通运输等行业，远程监控燃料和液体储罐液位、温度和潜在泄漏。公告称，部分组织观察到恶意网络活动，涉及入侵暴露的ATG系统并执行命令修改配置。相关访问可能利用身份验证绕过漏洞、硬编码凭据、操作系统命令执行缺陷、SQL注入漏洞和权限提升弱点。成功入侵后，攻击者可篡改网络设置、产品标识符、储罐容积和泵控制参数，并关闭警报。

安全研究人员披露，一种名为HTTP/2 Bomb的新型拒绝服务攻击可由单台机器发起，并在数秒内使Web服务器不可用。已披露信息显示，该技术适用于主要Web服务器的默认HTTP/2配置，包括NGINX、Apache HTTP Server、Microsoft IIS、Envoy和Cloudflare Pingora。该方法结合HPACK压缩放大和HTTP/2流控制停滞资源保留。研究人员称，在100Mbps连接条件下，单个客户端可在数秒内耗尽数十GB服务器内存。攻击滥用HTTP/2头部压缩机制，并通过零字节流控制窗口阻止请求完成，使服务器已分配内存持续增长而无法释放。相关概念验证代码已经发布。

美国网络安全机构CISA通报，Android框架漏洞CVE-2025-48595和Linux内核漏洞CVE-2022-0492已被加入已知利用漏洞目录。已披露信息显示，CVE-2025-48595是Android框架中的高危整数溢出漏洞，可被利用提升权限，影响Android 14至16，并且无需用户交互即可触发。相关公告称该漏洞可能在实际环境中遭受有限定向利用。CVE-2022-0492影响多个Linux内核分支，存在于cgroups v1子系统函数中，本地攻击者可利用身份验证检查不足绕过命名空间隔离、提升权限，甚至可能从容器中逃逸并获得主机root级访问权限。