Bitwarden CLI npm包遭供应链攻击
发布时间 2026-04-271. Zimbra邮件系统XSS漏洞遭持续攻击
4月24日,据非营利安全组织Shadowserver警告,超过10,000个暴露在网络上的Zimbra Collaboration Suite实例正面临持续的跨站脚本攻击。Zimbra是一款在全球拥有数亿用户的流行电子邮件和协作软件套件,广泛服务于数百个政府机构和数千家企业。被利用的漏洞编号为CVE-2025-48700,影响ZCS 8.8.15、9.0、10.0和10.1版本,允许未经身份验证的攻击者在用户会话中执行任意JavaScript代码,进而窃取敏感信息。供应商Synacor已于2025年6月发布安全补丁,并警告该漏洞利用无需用户交互,当用户在Zimbra Classic UI中查看恶意构造的电子邮件时即可触发。CISA基于实际利用的证据,将该漏洞标记为已被利用并列入已知利用漏洞目录,同时命令联邦民事行政部门机构在4月23日前完成Zimbra服务器的安全加固。周五,Shadowserver进一步发出警告,仍有超过10,500台暴露在外的Zimbra服务器未打补丁,其中大部分位于亚洲(3,794台)和欧洲(3,793台)。
https://www.bleepingcomputer.com/news/security/cisa-says-zimbra-flaw-now-exploited-over-10k-servers-vulnerable/
2. 公用事业技术公司Itron遭网络攻击
4月26日,公用事业技术公司Itron, Inc.近日披露,一次网络攻击导致未经授权的第三方访问了其部分内部系统。该公司在提交给美国证券交易委员会的8-K文件中表示,上个月检测到该活动后,立即启动了网络安全响应计划,通知了执法部门,并聘请了外部顾问以支持调查和事件控制。目前,未经授权的活动已被阻止,公司表示没有发现任何后续活动。Itron是一家总部位于华盛顿的上市公司,为能源和水资源管理提供公用事业技术产品和服务。尽管此次事件涉及内部系统被非法访问,但Itron强调,这并未对业务运营造成实质性干扰,目前预计也不会产生任何后续影响。此外,该公司预计大部分与事件相关的成本将由保险承担。Itron还指出,此次未经授权的活动并未波及客户。然而,需要注意的是,对该事件的范围和影响的调查仍在进行中。截至目前,尚无勒索软件组织声称对此次攻击负责。
https://www.bleepingcomputer.com/news/security/american-utility-firm-itron-discloses-breach-of-internal-it-network/
3. ADT遭数据泄露,ShinyHunters勒索千万条记录
4月24日,家庭安全巨头ADT近日证实发生了一起数据泄露事件,此前勒索组织ShinyHunters威胁称,除非支付赎金,否则将公开被盗数据。ADT于4月20日检测到未经授权访问客户和潜在客户数据的行为,随后立即终止了入侵并展开调查。调查结果显示,此次事件中个人信息被盗,但范围有限。ADT表示,泄露的信息仅限于姓名、电话号码和地址,在极少数情况下还包括出生日期和社保号码或税号的后四位。至关重要的一点是,没有任何支付信息(包括银行账户或信用卡信息)被获取,客户的安全系统也未受到任何影响或损害。ADT强调已联系所有受影响人员。此前,ShinyHunters已在其数据泄露网站上公布ADT,声称窃取了包含1000万条客户个人身份信息及其他内部公司数据的记录,并发布了最后通牒,要求ADT在2026年4月27日前与其联系并支付赎金,否则将公开数据。ADT并未证实攻击者声称的数据窃取量。ShinyHunters透露,他们通过语音钓鱼攻击入侵ADT,导致一名员工的Okta单点登录账户被盗,进而利用该账户访问并窃取了ADT Salesforce系统中的数据。
https://www.bleepingcomputer.com/news/security/adt-confirms-data-breach-after-shinyhunters-leak-threat/
4. 勒索组织BlackFile借语音钓鱼攻击零售与酒店业
4月24日,自2026年2月以来,一个名为BlackFile的以经济利益为目的的新兴黑客组织与一系列针对零售和酒店业的数据盗窃及勒索攻击有关。据Palo Alto Networks的Unit 42与零售和酒店信息共享与分析中心披露,该组织(亦称CL-CRI-1116、UNC6671和Cordial Spider)通过冒充企业IT服务台人员窃取员工凭证,并向受害者索要七位数赎金。BlackFile的攻击始于使用伪造号码给员工打电话,威胁者冒充IT支持人员,诱骗员工访问虚假的企业登录页面,要求输入凭据和一次性密码。攻击者利用窃取的凭证注册自己的设备以绕过多因素认证,随后通过抓取内部员工目录提升对高管级账户的访问权限。该组织使用标准API函数从受害者的Salesforce和SharePoint服务器窃取数据,专门搜索包含“机密”和“SSN”等敏感术语的文件。窃取的文件被下载到攻击者控制的服务器,并发布到该团伙的暗网数据泄露网站,随后受害者会通过被入侵的员工电子邮件账户或随机生成的Gmail地址收到赎金要求。
https://www.bleepingcomputer.com/news/security/new-blackfile-extortion-gang-targets-retail-and-hospitality-orgs/
5. ShinyHunters声称入侵在线学习平台Udemy
4月24日,勒索组织ShinyHunters近日声称已成功入侵在线学习平台Udemy,并威胁要公布超过140万条包含个人身份信息及其他内部公司数据的记录。2026年4月24日,该臭名昭著的网络犯罪团伙将Udemy列入其暗网受害者名单,并发出最后通牒,要求公司在2026年4月27日前联系他们并支付赎金,否则将公开泄露数据。截至目前,该说法尚未得到官方证实,ShinyHunters也未像此前攻击其他公司时那样附上样本数据或截图以佐证其主张。Udemy是全球领先的在线学习平台之一,2024年估计拥有7700万在线学习者,自那时起这一数字可能还在增长。目前尚不清楚据称泄露的140万条记录具体包含哪些用户群体的信息,可能是普通学员、讲师、员工或这些群体的组合。但无论如何,140万条记录都是一个庞大的数字,其潜在后果十分严重,除了显而易见的诈骗和金融欺诈风险外,这些数据还可能为攻击者提供侦察素材,因为许多人使用Udemy课程来提升职业技能。
https://cybernews.com/security/shinyhunters-claim-udemy-data-theft/
6. Bitwarden CLI npm包遭供应链攻击
4月24日,持续不断的软件供应链黑客攻击浪潮如今波及到了最受欢迎的密码管理器之一Bitwarden。攻击者在其命令行工具的npm包中植入了恶意软件。Bitwarden表示,用户密码库数据仍然完好无损,普通用户未受影响,但部分开发者需要警惕。那些此前入侵Checkmarx安全工具的攻击者,同样找到了入侵Bitwarden npm包的方法,在npm代码库中发布了一个带有恶意软件的CLI版本。Bitwarden CLI是供高级用户或系统管理员以编程方式与密码管理器交互的终端工具。Bitwarden安全团队确认,事件发生在2026年4月22日下午5:57至晚上7:30(美国东部时间)之间。在短暂的窗口期内下载了CLI版本2026.4.0的用户,务必将系统视为已被入侵并假设凭据已泄露。据Arnica联合创始人兼首席技术官Eran Medan透露,虽然超过1000万用户使用Bitwarden的开源密码管理器,但只有334位开发者下载了恶意CLI工具。StepSecurity分析指出,此次网络攻击源于Bitwarden一名工程师的GitHub账户被盗用。
https://cybernews.com/security/bitwarden-cli-npm-package-compromised-with-malware/
京公网安备11010802024551号