2026-01-20 01:34:58 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文汇总安全动态：美国放射机构数据泄露致巨额和解，微软旧版系统曝0day及证书风险，ServiceNow与npm供应链漏洞引发接管危机。此外，Moxa设备漏洞、朝鲜黑客渗透岗位及RMM工具滥用需警惕。建议及时修补漏洞，强化供应链审查，防范新型威胁。 综合评分： 84 文章分类： 漏洞预警,威胁情报,供应链安全,数据泄露,安全大事件

cover_image

美国放射学机构泄露近60万患者信息，支付超1500万元和解金

汇能云安全

2026年1月19日 11:51 广东

01月19日，星期一，您好！中科汇能与您分享信息安全快讯：

美国放射学机构泄露近60万患者信息，支付超1500万元和解金

美国一家为上百家医疗机构提供服务的放射学执业机构Consulting Radiologists Ltd.，近日达成一项总额220万美元（约合人民币1533万元）的和解协议，以了结因其数据泄露事件引发的集体诉讼。调查显示，该机构在2024年2月遭遇网络入侵，未经授权的第三方可能访问并窃取了多达583,824名患者的敏感信息，包括姓名、地址、出生日期、医疗保险详情及近2万人的社会安全号码。此次泄露事件被指控源于该机构未能实施并维护合理的安全措施，违反了包括HIPAA在内的多项法规。

此次事件导致近60万患者的健康隐私面临严重风险，受害者可能遭受身份盗窃、精准诈骗等威胁。涉事机构不仅需支付巨额赔偿金用于现金赔付、信用监测等服务，其专业声誉与客户信任也遭受重创。这一案例再次为全球医疗卫生机构敲响警钟，表明保护患者健康信息不仅是法律义务，疏于防护更将带来巨大的经济与法律后果。

微软关键安全启动证书即将过期，或导致系统启动过程被恶意绕过

微软在2026年1月的安全更新中修复了一个关键的安全功能绕过漏洞（CVE-2026-21265）。该漏洞的根源在于，保障Windows操作系统“安全启动”机制信任链的三份核心证书（均于2011年签发）即将在2026年年中陆续到期。“安全启动”是防止恶意软件在系统启动最早阶段加载的关键防线，这些证书的过期可能破坏整个信任链，导致该安全机制失效。

若未及时应用补丁，攻击者可能利用此缺陷在启动过程中加载恶意代码，破坏系统启动的完整性，从而绕过关键的安全防护。尽管漏洞利用复杂度较高，但其影响深远，波及Windows Server 2012/2012 R2/2016及Windows 10 1607等旧版本系统。微软敦促使用这些系统的组织和个人立即部署更新，并确认固件兼容性，以防证书过期后设备无法安全启动或遭受启动级攻击。

ServiceNow平台AI聊天机器人存严重漏洞，可致攻击者完全接管客户系统

安全研究人员在ServiceNow平台发现一个被评估为“迄今为止最严重的AI驱动漏洞”。该漏洞存在于ServiceNow的“虚拟代理”聊天机器人功能中：一方面，平台向所有第三方服务分发了相同的固定API凭证；另一方面，验证用户身份仅需电子邮件地址，无需密码或多因素认证。攻击者结合这两点，可轻易冒充任何用户接入系统。

更严重的是，该聊天机器人已集成“Now Assist”AI代理功能。研究人员演示，攻击者仅凭一个邮箱地址就能操纵AI代理，在系统中任意创建具有管理员权限的新账户，从而获得平台持久、完整的控制权。由于ServiceNow深度集成于企业的IT、HR、客服等核心系统，此漏洞不仅导致平台本身沦陷，更成为攻击者横向移动、窃取关联系统数据的绝佳跳板，对85%的财富500强企业构成供应链安全威胁。

恶意npm包伪装n8n集成节点，窃取集中存储的OAuth令牌引发供应链新风险

威胁分子在npm包仓库上传了至少8个恶意软件包，它们伪装成n8n工作流自动化平台的社区集成节点（如假冒Google Ads集成）。一旦开发者安装并使用，这些恶意节点会通过看似正常的界面诱骗用户绑定账户，随后在工作流执行时，利用n8n平台的高权限解密并窃取存储的OAuth令牌，发送到攻击者服务器。

此次攻击标志着供应链威胁的重大升级。与传统npm恶意软件窃取开发者个人凭证不同，此活动直接攻击像n8n这样的“集中式凭证库”。这类平台通常存储着谷歌、Salesforce、Stripe等数十种关键服务的API密钥和令牌。由于社区节点与n8n主程序享有同等权限且无沙箱隔离，一个恶意包就足以让攻击者全面窃取企业数字生态系统的凭证，风险极高。官方建议自托管用户考虑禁用社区节点功能。

攻击者借伪造PDF诱导安装合法远程管理工具，企业级软件被“就地武器化”

安全机构发现一种新型攻击趋势：攻击者通过钓鱼邮件发送伪造的PDF文件（如名为“发票明细.PDF”），文件内提示加载失败，诱导用户点击链接。该链接会跳转至伪装成Adobe的网站，最终诱使用户下载并安装Syncro、NinjaOne、ScreenConnect等合法的远程监控与管理工具。

这类攻击的狡猾之处在于，最终投递的载荷是拥有合法数字签名、被企业广泛使用的正规IT管理软件，而非传统病毒，因此极易绕过安全检测。攻击者借此在受害者计算机上建立持久、高权限的远程访问通道。由于RMM工具本身具备强大的系统控制能力，此手法实现了“就地武器化”，检测难度大。攻击活动至少自2025年10月持续至今，提醒用户对邮件中PDF的“加载失败”提示高度警惕，并组织应监控未经授权的RMM软件安装。

Moxa工业交换机曝高危OpenSSH漏洞，工业网络面临远程代码执行严重威胁

全球工业网络设备提供商Moxa发布高危警报，其EDS和RKS两个系列的工业以太网交换机中，发现一个存在于OpenSSH组件中的严重漏洞（CVE-2023-38408）。该漏洞CVSS评分为9.8分（满分10分），源于一个“不可信搜索路径”问题。攻击者可通过利用ssh-agent的PKCS#11功能，在特定条件下实现远程代码执行，从而完全控制受影响的设备。受影响的包括EDS-4008/G4000系列、RKS-G4000系列等多个型号，相关固件版本存在风险。

此漏洞对采用Moxa设备的工业控制系统（OT）网络构成严重威胁。攻击者一旦利用成功，不仅能中断关键工业生产流程，还可能以其为跳板，在整个工业网络中进行横向移动，窃取核心生产数据或实施破坏。鉴于工业环境对稳定性和安全性要求极高，Moxa强烈建议用户立即联系其技术支持获取并安装安全补丁（EDS系列v4.1.58、RKS系列v5.0.4），或严格实施网络隔离、访问控制等临时缓解措施。

朝鲜组织通过虚假身份渗透跨国企业远程职位，构成严重内部威胁与合规风险

网络安全研究机构揭露，朝鲜运营着一个高度精密的远程工作者渗透计划，其成员通过盗用身份、伪造简历和利用AI深度伪造技术通过面试，系统性地潜入全球（尤其是西方）企业的远程工作岗位。这些人员入职后，利用合法员工权限，长期潜伏并从事转移资金、窃取知识产权或为后续网络攻击建立后门等恶意活动。据联合国估算，该计划每年为朝鲜政权创收约6亿美元。

此类威胁远超传统内部风险，给企业带来三重严重危机。首先，直接造成巨额资金与核心知识产权损失。其次，企业可能因无意中雇佣受制裁国家人员而违反国际法规（如OFAC规定），面临严厉处罚。最后，事件曝光将导致企业声誉严重受损，并引发极其复杂、高成本的全面安全审计与应急响应。防御此类威胁需企业升级招聘背景审查，并加强持续的员工行为与网络流量监控。

微软桌面窗口管理器曝出已遭利用的0day漏洞，旧版Windows系统面临权限提升风险

微软在2026年1月“补丁星期二”安全更新中，紧急修复了其桌面窗口管理器（DWM）组件中的一个0day信息泄露漏洞（CVE-2026-20805）。该漏洞已监测到在野外被主动利用。攻击者可利用此漏洞，以低权限本地用户的身份，通过远程ALPC端口泄露用户模式内存中的敏感信息，特别是内存段地址。这有助于攻击者在系统中绕过安全缓解措施（如ASLR），为后续发起完整的权限提升攻击链提供关键信息。

尽管该漏洞自身不能直接实现远程攻击或权限提升，但其低攻击复杂度、无需用户交互的特点，使其成为恶意软件在成功入侵系统后进行“横向移动”和“权限提升”的理想垫脚石。该漏洞主要影响Windows Server 2012/2012 R2/2016及Windows 10 1809等已进入扩展支持阶段的旧版本系统，运行不受支持或老旧系统版本所持续面临的极高安全风险。微软已将相关更新标记为“必需”，敦促所有受影响系统的管理员立即部署。

ValleyRAT_S2病毒通过伪装工具传播，金融机构遭遇持久化信息窃取威胁

新一轮网络攻击活动正通过伪装成“AI办公表格工具”等中文软件安装包传播ValleyRAT_S2恶意软件。该病毒是ValleyRAT家族的第二阶段载荷，基于C++开发，功能完备。攻击链常利用带有合法签名的程序通过DLL侧载技术加载恶意模块（如steam\_api64.dll）来规避检测。一旦激活，该木马会建立与攻击者服务器的连接，实现文件操作、命令执行和键盘记录等全面控制，旨在窃取网银凭证、交易记录等金融敏感信息。

ValleyRAT_S2的最大威胁在于其强大的持久化与守护能力。它不仅通过计划任务和注册表实现自启动，还会生成一个名为monitor.bat的批处理脚本，持续监控主恶意进程。一旦进程被安全软件终止，该脚本会立即将其静默重启，形成“杀不死”的守护循环。此外，它还能将自身注入到Telegram、WhatsApp等可信进程中以实现隐蔽。这种设计使得常规的进程查杀难以彻底清除该病毒，对金融机构的资金安全和客户信任构成长期、顽固的威胁。

新型“沙虫”病毒标志软件供应链攻击进入蠕虫时代，现代软件开发全链条面临系统性风险

网络安全分析指出，以“沙虫”病毒为代表的下一代软件供应链攻击，正从传统的“被动陷阱”模式演变为具备“主动蠕虫”传播能力的全新威胁。与过去攻击者上传拼写错误的恶意包等待误装不同，“沙虫”病毒在感染开发者电脑后，会主动窃取其NPM、GitHub等凭证，并自动利用这些合法身份向由其控制的其他软件包发布带毒更新，实现自我复制和快速扩散。其攻击目标从软件本身转向了开发者的数字身份和自动化构建（CI/CD）管道。

这种转变对整个软件供应链构成了系统性、跨领域的风险。攻击可能始于一个JavaScript前端库，但通过窃取的凭证，最终将后门注入到Rust或Go语言编写的后端系统乃至云基础设施中。由于攻击链条横跨应用安全、开发运维和云安全等传统上各自为政的部门，极易形成检测盲区。此类攻击不仅可导致服务中断，更可能悄无声息地篡改金融模型、AI训练数据等，造成深远且隐蔽的破坏。应对此威胁需要企业打破安全孤岛，实施覆盖软件全生命周期的协同防御。

信息来源：人民网国家计算机网络应急技术处理协调中心国家信息安全漏洞库今日头条 360威胁情报中心中科汇能GT攻防实验室安全牛 E安全安全客 NOSEC安全讯息平台火绒安全亚信安全奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院安全帮卡巴斯基安全内参安全学习那些事安全圈黑客新闻蚁景网安实验室 IT之家IT资讯黑客新闻国外天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全《美国放射学机构泄露近60万患者信息，支付超1500万元和解金》