安天ATID威胁情报综合分析平台 - 威胁情报查询、关联分析、线索研判、威胁追踪溯源

ThreatFabric发现TrickMo安卓银行木马出现新变种“Trickmo.C”，自今年1月起持续被跟踪。该恶意软件伪装成TikTok或流媒体应用，主要针对法国、意大利和奥地利用户的网银账户及加密货币钱包。其最新变化是将The Open Network（TON）用于隐蔽的命令与控制通信，通过设备内嵌的本地TON代理和.adnl地址与操作者连接，借助加密覆盖网络隐藏真实服务器IP和端口，提升追踪、封禁和关停难度。该木马仍采用两阶段模块化设计，可实施钓鱼覆盖、键盘记录、录屏、实时屏幕流、短信拦截、OTP通知压制、剪贴板篡改、通知过滤和截图等攻击。研究人员还观察到Pine运行时Hook框架与NFC相关权限，但暂未发现其被实际启用。

Checkmarx披露，其官方Jenkins AST插件在Jenkins Marketplace上曾被发布恶意篡改版本，版本号为2026.5.09。该事件被认为与TeamPCP黑客组织有关，攻击者据称利用此前在Trivy供应链攻击中窃取的凭证进入Checkmarx的GitHub环境，并向部分制品发布恶意代码。这是该公司自3月底以来遭遇的第三起相关供应链事件。Checkmarx表示，恶意版本并未经过正常发布流程，且缺少对应git标签和GitHub Release，建议用户仅使用2025年12月17日发布的2.0.13-829.vc72453fa_1c16或更早版本。公司提醒，下载过恶意插件的用户应视为凭证可能已泄露，立即轮换密钥并排查横向移动与持久化行为。

cPanel漏洞CVE-2026-41940已被攻击者大规模利用，约有2000个IP地址参与相关攻击活动。利用该漏洞后，攻击者能够部署Filemanager后门，从而在受影响系统中建立持续性访问能力，并进一步实施凭证窃取等恶意行为。现有信息表明，此次攻击已进入活跃利用阶段，说明威胁并非停留在理论层面，而是已被用于实际入侵。对于使用cPanel的组织和个人而言，此类攻击可能导致账户信息泄露、后台长期潜伏以及后续横向渗透风险上升，需密切关注官方通报与安全防护措施。

TeamPCP在2026年攻陷了Checkmarx的一款Jenkins AST插件，再次暴露软件供应链安全中的薄弱环节。报道指出，此次事件发生在KICS供应链攻击后数周，显示攻击者可能持续针对相关开发与安全工具展开行动。该事件的核心风险在于，CI/CD环境中的插件一旦被入侵，可能影响构建流程、扩大攻击面，并带来凭证泄露等安全问题。现有信息表明，此事凸显了企业在第三方插件管理、供应链完整性验证以及敏感凭证保护方面仍需加强防护与审计，以降低类似攻击造成的连带影响。

教育科技公司Instructure确认，攻击者利用Canvas学习管理系统中的安全漏洞篡改了部分登录页面，并留下勒索信息。报道称，此次事件涉及多个跨站脚本（XSS）漏洞，攻击者借此获取已认证的管理员会话并执行高权限操作。Instructure表示，受影响的是Canvas面向个人教育者的Free-for-Teacher免费环境。公司于4月29日发现网络遭入侵，随后切断未授权访问并启动调查，几天后确认有数据被窃。5月7日，攻击者再次利用同一漏洞实施篡改，试图施压Instructure就赎金展开谈判。公司称，登录页面篡改阶段未导致新的数据泄露，目前已暂时关闭Free-for-Teacher账户，Canvas服务自5月9日起恢复可用。

安全研究员Kim Dvash发布了名为GhostLock的概念验证工具，展示攻击者如何滥用Windows合法文件接口CreateFileW及其共享模式参数，阻止本地或SMB网络共享中的文件被其他用户和应用打开。其核心做法是将dwShareMode设为0，以独占方式打开文件，在句柄持续存在期间触发“共享冲突”错误，从而造成访问中断。该工具可递归锁定SMB共享中的大量文件，且普通域用户无需提权即可实施。如果攻击者从多台受控设备同时发起并持续重新获取句柄，影响会进一步扩大。研究人员指出，这更接近干扰性拒绝服务攻击而非勒索破坏；一旦SMB会话终止、进程结束或系统重启，文件访问通常会恢复。由于其行为主要表现为大量合法打开文件请求，传统侧重加密或批量写入检测的安全产品可能较难发现。