Vercel披露安全漏洞:员工账户遭AI工具入侵
发布时间 2026-04-201. Vercel披露安全漏洞:员工账户遭AI工具入侵
4月19日,云开发平台Vercel近日披露了一起安全事件,称有未经授权的第三方入侵了其部分内部系统。该公司表示,此次事件已影响部分客户,但其核心服务、Next.js、Turbopack及其他开源项目均未受影响。目前,Vercel已聘请事件响应专家协助调查,并已通知执法部门。据后续更新,此次安全漏洞源于第三方AI工具Context.ai的Google Workspace OAuth应用遭到入侵,导致一名Vercel员工的Google Workspace账户被攻破。攻击者随后利用该账户提升了在Vercel环境中的访问权限,并成功枚举了那些未被标记为“敏感”的环境变量,这些变量在静态存储时未加密,原本仅用于存放非敏感信息,但攻击者通过枚举进一步获取了访问权限。与此同时,一名自称“ShinyHunters”的威胁行为者在黑客论坛上发帖,声称已入侵Vercel并试图出售被盗数据,包括访问密钥、源代码、数据库数据、内部部署和API密钥等。该黑客还分享了一份包含580条Vercel员工信息(姓名、邮箱、账户状态等)的文本文件,以及一张疑似内部控制面板的截图。攻击者还声称曾与Vercel联系并提出约200万美元的赎金要求。
https://www.bleepingcomputer.com/news/security/vercel-confirms-breach-as-hackers-claim-to-be-selling-stolen-data/
2. Nexcorium僵尸网络利用TBK DVR及老旧路由器漏洞传播
4月18日,Fortinet的研究人员发现,威胁行为者正利用TBK DVR设备中的一个命令注入漏洞(CVE-2024-3721)以及已停产的TP-Link路由器等其他老旧物联网设备的安全缺陷,传播一种名为Nexcorium的新型Mirai变种恶意软件。攻击者通过篡改特定请求参数,利用CVE-2024-3721漏洞传播下载脚本。相关网络流量中包含一个自定义的“X-Hacked-By”标头,其值为“Nexus Team”,暗示了攻击者的可能身份,但该组织的具体情况仍不明确。该脚本名为“dvr”,会下载标记为“nexuscorp”的恶意软件样本。对“nexuscorp.x86”样本的进一步分析显示,该恶意软件名为Nexcorium,属于Mirai家族变种,在执行时会显示接管信息。它使用XOR解码方式提取嵌入式配置数据,包括C2服务器信息、攻击命令和持久化脚本。与其他Mirai变种一样,Nexcorium配备了监视程序、扫描器和多种DDoS攻击模块。它会执行完整性检查,一旦检测到篡改便进行自我复制。此外,该恶意软件还嵌入了针对华为设备的漏洞利用程序(如CVE-2017-17215),并包含大量默认凭据,用于对Telnet访问进行暴力破解。
https://securityaffairs.com/190974/malware/nexcorium-mirai-variant-exploits-tbk-dvr-flaw-to-launch-ddos-attacks.html
3. 微软Defender三零日漏洞遭利用:仅BlueHammer已修复
4月18日,近期,攻击者正在积极利用微软Defender中最近披露的三个零日漏洞,以在受感染系统上获取更高权限。这三个漏洞分别名为BlueHammer、RedSun和UnDefend,由一位化名“Chaotic Eclipse”的研究人员发现。该研究人员在公开批评微软对漏洞披露的处理方式后,不仅披露了漏洞细节,还发布了针对未修复Windows漏洞的概念验证代码。其中,BlueHammer和RedSun允许攻击者在Microsoft Defender中实现本地权限提升,而UnDefend则会触发拒绝服务攻击,阻止安全定义更新,从而削弱系统的整体防护能力。截至目前,微软仅修复了BlueHammer漏洞,并为其分配了编号CVE-2026-33825,但RedSun和UnDefend仍未得到修补。据Huntress研究人员报告,这三个漏洞已被实际用于攻击活动,尽管受害者和攻击者的具体身份尚不清楚。Huntress表示,攻击者从2026年4月10日开始利用BlueHammer漏洞展开攻击,随后在4月16日又使用了RedSun和UnDefend漏洞进行概念验证攻击。研究人员认为,攻击者很可能正在使用Chaotic Eclipse在网上公开发布的漏洞利用代码。
https://securityaffairs.com/190961/hacking/microsoft-defender-under-attack-as-three-zero-days-two-of-them-still-unpatched-enable-elevated-access.html
4. Grinex交易所遭1370万美元攻击后停运
4月17日,总部位于吉尔吉斯斯坦的加密货币交易所Grinex在遭受一场涉及1370万美元的黑客攻击后,已暂停运营。该平台主要服务于俄罗斯用户,允许俄罗斯企业和个人之间进行加密货币与卢布的兑换交易。被盗资金直接来自俄罗斯用户的加密货币钱包。据Grinex发布的声明,此次攻击的类型和数字足迹表明,威胁行为者与“外国情报机构”有关,这些机构拥有“前所未有的资源和技术,只有敌对国家的实体才能获得”。该交易所声称,根据初步数据,这是一次旨在直接损害俄罗斯金融主权的协调攻击。然而,无论是Grinex的声明,还是区块链分析公司Elliptic与TRM Labs的报告,均未提供任何具体的技术证据或指标来支持将此次攻击归咎于西方情报机构。Elliptic披露,盗窃事件发生于周三UTC时间12:00,被盗资金被发送至TRON和以太坊地址,随后通过SunSwap去中心化交易协议转换为TRX和ETH。
https://www.bleepingcomputer.com/news/security/grinex-exchange-blames-western-intelligence-for-137m-crypto-hack/
5. 高危Apache ActiveMQ漏洞遭积极利用
4月17日,美国网络安全和基础设施安全局(CISA)周四发布警告称,本月早些时候修复的一个高危Apache ActiveMQ漏洞目前正被积极用于实际攻击。该漏洞编号为CVE-2026-34197,在长达13年的时间里未被发现,最终由Horizon3研究员Naveen Sunkavally借助Claude AI助手发现。Apache ActiveMQ是最流行的基于Java的开源消息代理,广泛应用于应用程序之间的异步通信。据Sunkavally解释,该漏洞源于输入验证不当,使得经过身份验证的攻击者能够通过注入攻击执行任意代码。Apache维护人员已于3月30日在ActiveMQ Classic 6.2.3和5.19.4版本中修复了该问题。目前,威胁监控服务ShadowServer已追踪到超过7500台暴露于网络上的Apache ActiveMQ服务器。CISA已将CVE-2026-34197纳入其已知利用漏洞(KEV)目录,并命令联邦民事行政部门(FCEB)机构在两周内(即4月30日之前)完成对ActiveMQ服务器的修补工作。
https://www.bleepingcomputer.com/news/security/cisa-flags-apache-activemq-flaw-as-actively-exploited-in-attacks/
6. Payouts King利用QEMU模拟器运行隐藏虚拟机
4月17日,Payouts King勒索软件正在利用开源的QEMU模拟器作为反向SSH后门,在受感染的系统上运行隐藏的虚拟机,从而绕过终端安全措施。根据网络安全公司Sophos的研究人员记录,他们发现了两起攻击者部署QEMU的活动。根据Zscaler的报告,Payouts King可能与前BlackBasta联盟成员有关,因其使用了类似的初始访问方法。该勒索软件采用大量混淆和反分析机制,通过计划任务建立持久性,并使用底层系统调用终止安全工具。其加密方案为AES-256(CTR)结合RSA-4096,对大文件采用间歇式加密。Sophos记录的第二起活动自2月以来一直活跃,利用CitrixBleed 2漏洞(CVE-2025-5777)获取初始访问权限。攻击者在入侵NetScaler设备后,部署恶意ZIP存档,安装名为“AppMgmt”的服务,创建本地管理员用户,并安装ScreenConnect客户端以实现持久化,随后释放并提取QEMU软件包,运行隐藏的Alpine Linux VM。攻击者在虚拟机内部手动安装和编译Impacket、BloodHound.py、Metasploit等工具,进行凭证收集、Active Directory侦察和数据外泄。
https://www.bleepingcomputer.com/news/security/payouts-king-ransomware-uses-qemu-vms-to-bypass-endpoint-security/
京公网安备11010802024551号