2026-01-26 02:35:03 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周简讯涵盖APT、政策及漏洞动态。Konni与PurpleBravo分别攻击韩国及软件供应链。欧盟推GCVE项目及修订网络安全法案，美众院推进AI芯片审查，ETSI发布AI安全标准。漏洞方面修复了GNUC库、Chainlit、Cisco及Oracle多处高危漏洞，部分已被利用。此外披露了PDFSIDER、通过VSCode传播的Evelyn及AI生成的VoidLink等新型威胁。 综合评分： 82 文章分类： 威胁情报,漏洞预警,恶意软件,APT攻击,政策法规

cover_image

每周网络安全简讯 ( 2026年第4周 )

国信中心国信中心

极客安全

2026年1月23日 17:30 北京

2026年1月17日至2026年1月23日，国家信息技术安全研究中心威胁监测部对境内外互联网上的网络安全信息进行了搜集和整理，并按APT攻击、网络动态、漏洞资讯、木马病毒进行了归类，共计19条。

APT攻击

APT组织Konni对韩国目标用户实施网络攻击

近日，安全研究人员监测发现APT组织Konni对韩国目标用户实施代号为“Poseidon Operation”的网络攻击活动。此次攻击事件中，该APT组织首先冒充朝鲜人权组织和金融机构诱骗用户点击相关钓鱼链接，滥用谷歌广告生态系统和韩国NAVER门户网站的“广告点击重定向机制”绕过基于静态分析和签名的安全框架，进而利用“汇款确认”“交易详情”等金融话题诱使用户下载伪装成PDF文档的初始载荷，通过一系列感染链向受控设备植入EndRAT功能性载荷，并最终实施敏感信息窃取、命令执行等恶意操作。

链接：https://koreajoongangdaily.joins.com/news/2026-01-19/national/northKorea/Hackers-linked-to-North-exploiting-Naver-and-Google-ad-systems-to-distribute-malware-report-finds/2503563

APT组织PurpleBravo对软件开发等特定目标用户实施网络攻击

近日，安全研究人员监测发现APT组织PurpleBravo以“招聘人员联络”“编码测试面试”等话题为诱饵，采用ClickFix方式对欧洲、南亚、中东、中美洲的金融服务、软件开发、市场营销等领域目标实施定向网络钓鱼攻击。据称，此次攻击事件中该APT组织主要体现以下特征：一是在攻击链中采用多种定制化和开源恶意程序，包括BeaverTail、InvisibleFerret、GolangGhost和PylangGhost等；二是攻击面较广，经统计共有3,136个IP遭受此类攻击；三是相关攻击特征与PurpleDelta组织间存在多处重叠，表明部分人员可能同时参与多项攻击行动。

链接：https://www.recordedfuture.com/research/purplebravos-targeting-it-software-supply-chain

网络动态

欧洲电信标准协会发布新人工智能标准ETSI EN 304 223

近日，欧洲电信标准协会（ETSI）发布了一项新的欧洲标准（ETSI EN 304 223），为人工智能实际应用提供了基础网络安全要求。该标准将人工智能列为网络安全方向独立类别，定义了“安全设计”“安全开发”“安全部署”“安全维护”“安全终结”共五个人工智能生命周期安全细则，与国际认可的人工智能生命周期模型保持一致。ETSI人工智能安全技术委员会主席 Scott Cadzow表示，“ETSI EN 304 223为人工智能融入关键服务和基础设施提供了指导，是未来建立人工智能综合保障框架的重要一步。”

链接：https://www.helpnetsecurity.com/2026/01/19/etsi-european-standard-ai-security/

欧盟推出“全球网络安全漏洞枚举”项目

近日，欧盟正式推出“全球网络安全漏洞枚举”（GCVE）项目，以摆脱美国“通用漏洞与暴露”（CVE）项目的长期依赖。GCVE由卢森堡计算机事件响应中心（CIRCL）管理，采用分散式架构，设立多个不同的GCVE编号机构（GNA），能够无需经过中央机构同意，立即为新的安全漏洞分配ID编号，旨在创建一个“去中心化的欧洲替代方案”供所有人免费使用。

链接：https://hackread.com/eu-launches-gcve-track-vulnerabilities-us/

美国NASA测试利用区块链技术确保航空系统网络安全

美国国家航空航天局在其位于硅谷的艾姆斯研究中心利用Alta-X无人机进行了一项基于区块链的安全实验。研究团队使用了一个开源区块链框架，该框架允许受信任的用户实时共享和存储关键数据，例如飞机运营商注册信息、飞行计划和遥测数据，并将相关数据的访问权限限制在受信任方和经授权的用户范围内。在实验中，研究人员在正常的测试场地条件下操控Alta-X无人机，并为其配备了无线电发射器、GPS模块和能够运行区块链软件的机载计算机，旨在观察基于区块链的架构在实际飞行环境中的性能表现。根据美国航空航天局对该实验的评估，即使遭受旨在测试系统性能的模拟网络攻击，区块链基础设施依然保持稳定可靠并确保了记录数据的完整性。

链接：https://www.nasa.gov/general/nasa-develops-blockchain-technology-to-enhance-air-travel-safety-and-security/

欧盟公布《网络安全法》修订草案，拟强制淘汰“高风险供应商”设备

1月20日，欧盟官方网站发文称，欧盟委员会（EC）公布《网络安全法》修订草案，拟在移动网络等关键基础设施中逐步淘汰所谓“高风险供应商”制造的设备。欧盟委员会指出，近期的安全事件暴露了脆弱性，并指出了当前的地缘政治格局。这使得供应链安全不再仅仅是技术产品或服务安全，而是涉及到与供应商相关的风险，尤其是依赖关系和外国干预的风险。根据草案，新措施适用范围涵盖了18个被欧盟委员会认定的关键行业，具体包括：探测设备、联网和自动驾驶车辆、电力供应和储能系统、供水系统、无人机和反无人机系统等基础设施领域，以及云服务、医疗设备、监控设备、航天服务和半导体等核心科技领域。草案若获得欧洲议会和欧盟理事会批准将立即生效，且各成员国随后有一年时间将该指令纳入本国法律。

链接：https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-eu-cybersecurity-act

英国上线“举报欺诈”国家平台，强化网络犯罪法律治理体系

近日，伦敦警察局宣布全面上线“举报欺诈”（Report Fraud）国家平台，旨在提供一个统一、现代化的国家级报告和情报门户，加强警务、政府和私营部门的集体响应能力，使伦敦市警察局能够在全国范围内领导警务4P响应（追踪、保护、预防、准备），并最终改变英格兰、威尔士和北爱尔兰企业及个人举报网络犯罪和欺诈的方式。

链接：https://www.cityoflondon.police.uk/news/city-of-london/news/2026/january/report-fraud-launches/

美众院外交委员会推进AI芯片出口审查法案

美国众议院外交事务委员会以42名成员支持，2人反对，1人投票弃权的压倒性多数通过了一项名为《人工智能对经核实出口的监督及对高风险行为体可武器化先进技术的限制法案》（Artificial Intelligence Oversight of Verified Exports and Restrictions on Weaponizable Advanced Technology to Covered High-Risk Actors Act，简称AI监督法案 AI OVERWATCH Act）的草案。该法案若最终成为法律，将赋予国会直接干预并否决向所谓“对手国家”出口高端AI芯片的权力。根据法案内容，美国商务部工业与安全局（BIS）未来若签发向中国等国家出口先进AI芯片的许可证，必须提前提交给众议院外交事务委员会和参议院银行委员会审议。两委员会将拥有30天的审查期，并有权联合决议阻止相关出口。截至目前，英伟达公司及负责出口管制的美国商务部均未就此事发表评论。该法案尚需经众议院全院及参议院审议通过，并由总统签署后方能生效。

链接：https://foreignaffairs.house.gov/news/press-releases/chairman-mast-hfac-advances-ai-overwatch-act

爱尔兰政府推进《通信（拦截与合法访问）法案》，保障警方访问加密信息

近日，爱尔兰政府正在推进《通信（拦截与合法访问）法案》，根据法案内容显示，其是1993年《邮政包裹和电信信息拦截（监管）法案》的替代方案，赋予国家警察局（An Garda Síochána）针对特定用户合法部署间谍软件并实时访问加密信息的权力。据称，上述方式可避免直接破坏加密协议，有效扫描用户设备内容，且在一定程度上防止引发潜在漏洞安全警报，防止恶意攻击者的二次利用。

链接：https://www.webpronews.com/ireland-advances-spyware-bill-for-police-access-to-encrypted-messages/

MITRE发布嵌入式系统威胁矩阵，以加强关键基础设施网络防护能力

近日，MITRE推出“嵌入式系统威胁矩阵”（ESTM），旨在为美国关键基础设施嵌入式系统提供网络安全框架。据称，ESTM由空军“武器系统网络韧性办公室”（CROWS）合作开发，可应用于交通、能源、医疗、工业控制、机器人等多个领域，同时该框架基于MITRE ATT&CK，以理论研究和概念验证经验为基础，覆盖新兴网络安全威胁，对嵌入式系统进行了针对性的优化，相关组织可直接将其纳入现有安全项目，切实提升抵抗潜在风险的能力。

链接：https://www.mitre.org/news-insights/news-release/mitre-launches-embedded-systems-threat-matrix-strengthen-cyber-defense

漏洞资讯

GNU C库存在2个安全漏洞

近日，安全研究人员发现GNU C库（glibc）存在2个安全漏洞。其中，第一个安全漏洞（CVE-2026-0861）位于memalign、posix_memalign和aligned_alloc函数中，允许攻击者通过强制利用应用程序传递特定组合参数的方式造成整数溢出，进而致使服务崩溃；第二个安全漏洞（CVE-2026-0915）位于getnetbyaddr和getnetbyaddr_r函数中，当调用相关函数查询“零值网络”（net==0x0）且系统配置为“使用DNS后端”时，允许攻击者捕获栈内容，造成敏感信息泄露。目前，用户可通过补丁更新等方式修复上述安全漏洞。

链接：https://securityonline.info/decades-old-flaw-new-heap-corruption-critical-glibc-bugs-revealed/

Chainlit AI框架存在2个安全漏洞

近日，安全研究人员发现应用广泛的开源AI框架Chainlit存在2个安全漏洞。其中，第一个安全漏洞（CVE-2026-22218）由框架元素处理组件存在缺陷所导致，允许攻击者通过发送带有恶意自定义元素数据的方式，读取/proc/self/environ环境变量；第二个安全漏洞（CVE-2026-22219）由SQLAlchemy数据层存在缺陷所导致，允许攻击者通过提取目标文件“chainlit key”属性值，进而非法访问用户文件。目前，用户可通过版本升级修复上述安全漏洞。

链接：https://www.theregister.com/2026/01/20/ai_framework_flaws_enterprise_clouds/

GNU InetUtils telnetd存在身份验证绕过漏洞

近日，安全研究人员发现开源Telnet服务器守护进程GNU InetUtils telnetd存在身份验证绕过漏洞（CVE-2026-24061），未经身份验证的攻击者可利用该安全漏洞绕过身份验证机制，远程访问telnetd服务器，进而读取用户敏感文件，篡改系统配置，甚至执行任意攻击指令。目前，用户可通过补丁更新修复上述安全漏洞。

链接：https://ccb.belgium.be/advisories/warning-critical-authentication-bypass-gnu-inetutils-telnetd-patch-immediately

Cisco CM等产品存在安全漏洞

近日，安全研究人员发现思科“统一通信”（CM）、Webex Calling等产品存在安全漏洞（CVE-2026-20045），是由相关组件对HTTP请求中用户输入数据处理不当所导致，允许攻击者通过向目标设备网络管理界面发送特制HTTP请求的方式将自身访问权限提升至root。目前，该漏洞已发现在野利用情况，用户可通过固件版本更新修复上述安全漏洞。

链接：https://thehackernews.com/2026/01/cisco-fixes-actively-exploited-zero-day.html

Oracle发布2026年1月份安全漏洞更新公告

近日，Oracle发布2026年1月份安全漏洞更新公告，涉及多个产品系列的337个安全漏洞。其中，较为严重的安全漏洞包括：位于Oracle HTTP Server和WebLogic Server代理插件的身份验证绕过漏洞（CVE-2026-21962），允许未经身份验证的攻击者无需用户交互即可通过HTTP协议访问目标网络。漏洞影响12.2.1.4.0、14.1.1.0.0等WebLogic Server代理插件版本，目前用户可通过补丁更新修复上述安全漏洞。

链接：https://cyberpress.org/oracle-releases-critical-security-patch-fixing-337-vulnerabilities-across-product-families/

木马病毒

通过PDF24应用程序传播的PDFSIDER恶意程序被披露

近日，Resecurity安全团队发现一起网络钓鱼攻击活动，通过诱使目标用户点击钓鱼邮件内的PDF24.exe合法应用程序，以DLL侧载方式向用户设备部署PDFSIDER恶意程序载荷。经分析，该载荷在初始阶段会利用GlobalMemoryStatusEx函数检测受控设备RAM参数，如果检测到内存不足，则会提前退出自身进程以保持隐藏状态，而检测通过后，会利用Botan 3.0.0库对自身通信隧道进行加密，创建受控设备ID值，将所窃数据进行AES-256-GCM加密后，通过DNS端口上传至攻击者指定的VPS数据存储服务器。

链接：https://hackread.com/hackers-exploit-pdf24-app-pdfsider-backdoor/

通过VS Code扩展组件传播的Evelyn恶意程序被披露

近日，安全研究人员披露了一款名为Evelyn的恶意程序，通过伪装成三个VS Code扩展组件（BigBlack.bitcoin-black、BigBlack.codo-ai 和 BigBlack.mrbigblacktheme）实施传播。一旦用户点击安装相关插件，将会通过植入恶意下载器DLL、PowerShell命令执行、将第二阶段有效载荷注入受控设备grpconv.exe合法Windows进程等感染链过程，部署Evelyn恶意程序，并最终实施敏感数据收集、外传等操作。安全人员声称，该恶意程序通过伪装成VS Code扩展组件，依赖可信平台实施传播，不仅具有较强的安全检测绕过能力，而且可对用户设备实施持久性远控，存在较大的潜在安全威胁。

链接：https://thehackernews.com/2026/01/evelyn-stealer-malware-abuses-vs-code.html

基于AI生成的VoidLink恶意程序被披露

近日，Check Point Research安全团队对VoidLink恶意程序开发团队基础设施进行长期监控，对其文档、源代码和项目组件分析后发现，VoidLink几乎处于“近实时演进”状态，从功能开发版本迅速过渡为完整的模块化框架，不断引入新组件，并加速向成熟运行平台演化。在近期迭代的版本中，该恶意程序已具备多项功能特征，包括：高度模块化的整体架构、自定义加载器与长期驻留植入、用于规避检测的eBPF与LKM rootkit模块、面向云枚举和容器环境后渗透的专用组件、可扩展插件体系与逐步建立的C2基础设施。该恶意程序的迭代过程证明，人工智能已经能够使单个黑客，以过去只有协调团队才能实现的速度，规划、构建并迭代复杂系统。

链接：https://research.checkpoint.com/2026/voidlink-early-ai-generated-malware-framework/

具有较强隐蔽远控能力的Pulsar RAT恶意程序被披露

近日，安全研究人员披露了一款名为Pulsar RAT的恶意程序。经分析发现，该恶意程序为开源Quasar RAT的迭代版本，在植入受控设备后，首先，Pulsar RAT会通过匹配磁盘标签字符串（QEMU HARDDISK等）的方式进行反虚拟化检查，在未发现相关字符串后，采用.NET反射方式将功能性载荷加载到内存中，绕过基于磁盘的安全检测机制；然后，从公共Pastebin平台中获取通联地址并通过TLS加密隧道进行C2通信；最后，使用MessagePack二进制协议建立BCrypt加密连接，并以此实现远程任意命令执行。此外，安全人员声称，该恶意程序具有模块化插件架构，可通过扩展功能组件的方式实现键盘记录、摄像头监控、加密货币窃取等多类恶意操作。

链接：https://gbhackers.com/pulsar-rat-abuses-memory-only-execution-and-hvnc-for-stealthy-remote-takeover/

编辑：林青

往期推荐

每周网络安全简讯 ( 2026年第3周 )

每周网络安全简讯 ( 2026年第1-2周 )

每周网络安全简讯 ( 2025年第53周 )

每周网络安全简讯 ( 2025年第52周 )

每周网络安全简讯 ( 2025年第51周 )

国家信息技术安全研究中心

地址：北京市海淀区农大南路1号硅谷亮城2C座

业务联系：010-59613856

点赞在看转发是对我们最好的支持

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客安全国信中心国信中心《每周网络安全简讯 ( 2026年第4周 )》