首页 > 安全研究 > 安全通报 > 安全简讯

Robinhood漏洞被滥用发送钓鱼邮件

发布时间 2026-04-28

1. Robinhood漏洞被滥用发送钓鱼邮件


4月27日,在线交易平台Robinhood的账户创建过程近日被不法分子利用,他们通过向合法电子邮件中注入恶意HTML代码,向用户发送了高度逼真的钓鱼邮件,诱骗用户相信其账户存在可疑活动。从4月26日晚间开始,Robinhood用户陆续收到来自官方地址的“您最近登录Robinhood”邮件。邮件声称检测到与账户关联的未识别设备,包含不寻常的IP地址和部分电话号码,并设置了一个“立即查看活动”按钮。点击该按钮会跳转至已关闭的钓鱼网站,该网站被用来试图窃取用户的Robinhood凭证。这些邮件之所以极具欺骗性,是因为它们通过了SPF和DKIM电子邮件安全检查,完全来自Robinhood的官方发件渠道。攻击者利用了Robinhood注册流程中的一个漏洞。当注册新账户时,Robinhood会自动向关联邮箱发送“您最近登录Robinhood”的邮件,其中包含注册时间、IP地址、设备信息和大致位置。攻击者通过修改设备元数据字段,在其中注入嵌入式HTML代码,而Robinhood未能对其进行适当的清理。这段恶意HTML被注入到邮件的“设备”字段中,显示为虚假的“您的账户关联了无法识别的设备”消息。


https://www.bleepingcomputer.com/news/security/robinhood-account-creation-flaw-abused-to-send-phishing-emails/


2. Glassworm新攻击波瞄准OpenVSX


4月27日,新一波Glassworm供应链攻击活动正以OpenVSX生态系统为目标,其中包含73个“休眠”扩展程序,这些扩展程序在更新后会变成恶意软件。据应用安全公司Socket披露,其中六个扩展程序已被激活并传播恶意软件,其余扩展程序高度可疑或处于待激活状态。最新一波攻击表明,攻击者的策略发生了重要变化,他们不再将恶意载荷直接嵌入扩展程序,而是先提交无害的扩展程序,在随后更新中再引入恶意代码。Socket发现,这73个扩展程序都是合法热门扩展的克隆版本,旨在欺骗那些只关注视觉效果而忽略细节的开发者。这些扩展程序不再直接携带恶意软件,而是作为轻量级加载器,通过以下方式获取恶意载荷:在运行时从GitHub获取辅助VSIX包并通过CLI安装;加载特定平台的编译模块(.node文件)获取载荷;或依靠高度混淆的JavaScript在运行时解码以安装恶意扩展。此前Glassworm攻击主要目的是窃取加密货币钱包数据、开发者凭证、访问令牌和SSH密钥。


https://www.bleepingcomputer.com/news/security/glassworm-malware-attacks-return-via-73-openvsx-sleeper-extensions/


3. 美敦力遭ShinyHunters攻击,被窃超900万条记录


4月27日,医疗设备巨头美敦力公司证实,其企业IT系统遭到网络攻击,黑客组织ShinyHunters声称已窃取超过900万条记录。该公司表示,未经授权的第三方访问了其部分企业IT系统中的数据,但尚未发现对产品安全、患者安全、运营、财务系统或医疗服务造成任何影响。美敦力强调,其IT系统、产品系统和制造网络相互独立,医院网络也保持独立管理并由客户IT团队负责安全维护。美敦力在新闻稿中指出,支持企业IT系统、产品以及生产和分销业务的网络是相互隔离的,医院客户网络与美敦力IT网络完全分离。公司已控制住此次数据泄露事件,并在外部网络安全专家的协助下启动了事件响应机制。目前,美敦力正在评估是否有个人数据被泄露,并将通知受影响的个人并提供相应支持。4月18日,ShinyHunters将美敦力列入其Tor数据泄露网站,声称超过900万条记录被盗,其中包括个人数据和内部文件。该组织最初威胁称,如果赎金未在4月21日前支付,他们将公开泄露这些数据。此后,该组织的相关页面已消失。


https://securityaffairs.com/191391/cyber-crime/medtronic-discloses-security-incident-after-shinyhunters-claimed-theft-of-9m-records.html


4. PyPI包elementary-data遭供应链攻击


4月27日,攻击者成功推送了流行PyPI包elementary-data的恶意版本(0.23.3),旨在窃取敏感的开发者数据和加密货币钱包。由于该包的工作流程涉及从代码创建镜像并上传至容器注册表进行部署,恶意版本的影响也扩展到了Docker镜像。社区成员crisperik发现了恶意上传,并于周六在项目GitHub上提交问题提醒维护者,从而缩短了暴露窗口。干净的替代版本0.23.4已推送,但已下载恶意变种的用户仍受到感染。据分析,攻击者在拉取请求中发布了一条恶意评论,利用GitHub Actions脚本注入漏洞,导致工作流执行了攻击者控制的shell代码。这一过程暴露了工作流的GITHUB_TOKEN,攻击者随即利用该令牌伪造了签名提交和标签(v0.23.3),并触发了项目的合法发布管道。该管道随后向PyPI发布了带有后门的包,同时向GitHub容器注册表推送了恶意镜像,使其看起来完全像官方版本。由于“上传到PyPI的发布包工作流也包含构建和推送Docker镜像的任务”,相同的恶意载荷也到达了项目的Docker镜像中。


https://www.bleepingcomputer.com/news/security/pypi-package-with-11m-monthly-downloads-hacked-to-push-infostealer/


5. 微软Outlook.com持续故障致用户登录失败


4月27日,微软正在调查Outlook.com持续出现的故障,该故障导致间歇性登录问题并阻止用户访问其邮箱。自事件发生三个多小时以来,故障监控服务Downdetector已收到数千份用户报告,其中大多数受影响用户报告了登录问题和连接问题。微软在其官方服务健康状况页面上更新消息称,受影响的客户正在被强制退出其帐户,并看到“请求过多”的错误提示。微软表示部分用户可能会遇到间歇性登录失败的情况,包括“请求过多”错误或意外注销。微软的调查显示,客户端登录场景可能导致了所报告的行为,公司正专注于验证各个服务组件之间的交互以确定下一步措施。在最新的更新中,微软将Outlook.com持续存在的登录问题归咎于“最近引入的更改”。公司在服务健康状况更新中表示,正在撤销最近推出的一项变更,以确定此举完成后是否能减轻影响。与此同时,微软继续分析客户报告,并密切监控服务遥测数据以确定下一步措施。目前受影响的用户仍在等待全面恢复。


https://www.bleepingcomputer.com/news/microsoft/microsoft-says-outlookcom-outage-is-causing-sign-in-failures/


6. Vidar新变种:恶意代码藏身JPEG图像规避检测


4月27日,Point Wild旗下Lat61威胁情报团队的最新研究表明,黑客现在将恶意代码隐藏在JPEG图像和文本文档等日常文件中,以部署臭名昭著的Vidar信息窃取程序的最新版本。Lat61的研究发现,该感染链始于VBScript和PowerShell脚本,最终导致部署一个Go编译的加载器。分析重点从初始入侵阶段转移到后渗透阶段,揭示了一个复杂的、多阶段的恶意软件攻击活动,该活动利用分层混淆、分阶段有效载荷交付和受信任的Windows组件来实现隐蔽执行和持久化。Vidar 2026版的危险之处在于其隐蔽性。一旦设备被感染,该恶意软件会利用基于IP的传输基础设施下载看似普通的JPEG图像和TXT文件,这些文件实际上是嵌入了Base64数据的有效载荷容器。Vidar的最终目标是数据窃取。此版本可以从谷歌Chrome浏览器和微软Edge浏览器的200多个扩展程序中窃取数据,尤其针对加密货币钱包、登录凭证和会话数据,从而使黑客能够访问私人账户。


https://hackread.com/vidar-infostealer-fake-captchas-jpeg-txt-files/

上一篇