文章总结： 本周暗网数据贩卖量上升，涉及美最高法院及IngramMicro等泄露。威胁主要来自高危漏洞与恶意软件，包括D-LinkD-View8DLL劫持及CloudflareWAF绕过。攻击者利用DLL侧加载和恶意VSCode扩展窃密。建议强化安全意识培训防范AI钓鱼，及时修补Istio等漏洞。 综合评分： 82 文章分类： 威胁情报,数据泄露,漏洞预警,恶意软件,云安全

---

烽火狼烟丨暗网数据及攻击威胁情报分析周报（01/19-01/23）

盛邦安全应急响应中心

2026年1月23日 17:26 北京

WebRAY安全服务团队定期针对敏感数据泄露、热点资讯、热点技术、热点漏洞、威胁攻击等情况进行跟踪整理与监测分析，本周总体情况如下：

本周内共发现暗网数据贩卖事件524起，同比上周增加2.75%。本周内贩卖数据总量共计278368.3万条；累计涉及8个主要地区及7种数据分类，数据泄露来源地区分布情况如图1所示。

图1 泄露数据来源地区分布情况

本周内泄露数据涉及贸易、金融、服务等多种类型数据，具体占比如图2所示。

图2 泄露信息数据类型占比

近期主要威胁来自软件高危漏洞、恶意软件及网站攻击，需加强关注；本周内出现的安全漏洞以D-Link D-View 8安装程序DLL劫持漏洞危害程度较大；内部安全运营中心共发现恶意攻击来源IP 8579条，主要涉及命令注入、扫描探测等类型。

01.

重点数据泄露事件

美国最高法院数据泄露

泄露时间：2026-01-20

泄露内容：攻击者承认入侵美国最高法院的电子归档系统，并攻击了美国联邦机构AmeriCorps和退伍军人事务部的账户。窃取信息包含受害者姓名和最高法院账户文件系统详细信息的屏幕截图。

泄露数据量：未涉及

关联行业：政府

地区：美国

Ingram Micro遭遇勒索软件导致数据泄露

泄露时间：2026-01-20

泄露内容：供应链服务与移动设备解决方案提供商Ingram Micro称遭受了勒索软件攻击，攻击者成功入侵了公司的一些内部系统并窃取了包括就业和求职者记录的相关文件。文件包含姓名、联系方式、出生日期、社会保障号码、护照号码、驾驶执照号码等政府颁发的身份识别号码以及就业相关信息。

泄露数据量：4.2万

关联行业：信息技术

地区：美国

PIXPAY数据库泄露

泄露时间：2026-01-19

泄露内容：攻击者声称塞内加尔支付平台PIXPAY的数据库遭到泄露。该帖子声称泄露的数据集包含与支付API相关的资料。泄露的数据包括JWT令牌、API密钥、访问令牌、数据库凭证和其他相关信息。

泄露数据量：未涉及

关联行业：金融

地区：塞内加尔

Fondasol集团的数据库泄露

泄露时间：2026-01-19

泄露内容：Groupe Fondasol是一家专注于岩土工程、地质工程和地质环境工程的独立咨询和工程公司。攻击者声称Groupe Fondasol的员工数据库已被泄露，这些数据涵盖了888名员工的记录，包括姓名、电子邮件地址、职位、角色、地点、电话号码、内部标识符、访问令牌和系统相关元数据等信息。

泄露数据量：800+

关联行业：服务

地区：法国

JobsGo数据库疑似泄露

泄露时间：2025-01-19

泄露内容：攻击者声称越南在线招聘服务公司JobsGO的数据库约有230万条记录遭到泄露。泄露的数据包括个人和职业信息，例如姓名、性别、出生日期、职位、雇主信息、实际地址、教育记录和简历原文。

泄露数据量：230万

关联行业：服务

地区：越南

02.

热点资讯

Firefox的隐藏扩展程序会监视用户行为

威胁组织正在通过官方浏览器商店传播恶意扩展程序，这些扩展程序先以正常功能积累用户信任，随后通过更新注入窃取和后门代码，已经影响了包括Chrome、Edge和Firefox在内的多个平台。在Firefox上，至少17个此类扩展程序已经累计安装超过84万次，它们通过将恶意代码隐藏于PNG图像资源等方式逃避检测。这些扩展能监控用户浏览行为、收集敏感数据，即使已被官方下架，已安装的扩展仍会持续作恶，用户需手动卸载才能彻底清除。这一事件揭示了官方插件市场同样存在风险，攻击者可利用审查漏洞和延迟触发技术长期潜伏窃密。

消息来源：

Firefox joins Chrome and Edge as sleeper extensions spy on users

利用StealC恶意软件控制面板监视黑客

近期，安全研究人员在StealC恶意软件控制面板中发现一个XSS漏洞，并借此成功侵入其网络管理界面，获取了该恶意软件的运作方式、受害者数据及攻击者活动情报。StealC是自2020年代初开始流行的一款信息窃取工具，能够窃取浏览器凭据、Cookies、系统信息等多种敏感数据。通过访问控制面板，研究人员不仅监控到攻击者的实时操作，还利用窃取的会话Cookie远程接管了其会话，从而获取了攻击者自身系统中存在的安全漏洞。例如，一名攻击者曾利用被劫持的YouTube账号传播StealC，盗取了大量密码与Cookies，却因未使用VPN等基础防护措施，导致真实IP与地理位置泄露。此次入侵事件表明，恶意软件的控制平台本身也可能存在漏洞，这为安全专家提供了从攻击者内部反向追踪的新途径。

消息来源：

StealC malware control panels could give experts the tools they need to spy on hackers

德国加强联邦情报局权限以减少对其他国家情报的依赖

德国政府正推动一项立法，旨在大幅扩展联邦情报局（BND）的权限，以提升其自主网络安全与反网络犯罪能力。根据提案，BND将获得对跨境通信实施全内容拦截、将数据保留期延长至最多六个月，并在外国服务提供商不配合时直接进行“黑客式”访问的权力。此外，该机构在德境内监视能力也将扩大，可针对涉嫌间谍、恐怖主义或网络威胁的外国公民进行通信监控，甚至允许进入私人场所部署监控软件。这份长达139页的草案几乎使BND职权范围翻倍，旨在减少对其他国家情报的依赖，并与欧洲同级机构看齐。虽然德国政府强调此举为应对复杂网络威胁所必需，但反对者担忧这可能加剧与大型科技公司及隐私保护监管机构之间的冲突。

消息来源：

https://cybernews.com/security/germany-federal-service-cybersecurity/

欧洲人权组织推动欧盟全面禁止使用商业间谍软件

欧洲数字权利组织（EDRi）正呼吁欧盟制定全面法律，以禁止商业间谍软件（如Pegasus和Predator）在欧盟范围内的传播与滥用。该组织指出，尽管至少已有14个欧盟成员国爆出相关监控丑闻，目前欧盟仍缺乏明确的法律红线来约束这类可完全控制智能手机、窃取敏感数据的监控工具。为推进立法，EDRi发布了立场文件并建立“文档库”，整合相关分析及研究成果，敦促欧盟禁止商业间谍软件及其漏洞交易、制裁供应商，并为所有受害者提供充分的法律救济途径。

消息来源：

https://cybernews.com/security/european-rights-groups-push-full-eu-ban-commercial-spyware-pegasus-/

AI驱动网络钓鱼使人工风险管理变得至关重要

随着生成式AI技术的成熟，网络钓鱼攻击正进入一个全新阶段。AI生成的钓鱼邮件、短信等社会工程手法变得更加逼真，令人难以分辨。调查显示，全球仅有约46%的成年人能准确识别AI生成的钓鱼邮件，超过半数的人可能误判或难以确定。甚至有多达44%的人承认自己在过去一年中曾点击过钓鱼链接。原因在于AI使钓鱼攻击更具个性化，能够模仿内部通信风格或利用公开信息定制内容，从而大幅提高了欺骗成功率，且各年龄段人群均易受影响。且在企业环境中这一风险尤为突出。为应对这一威胁，专家建议结合AI驱动的威胁检测、持续开展安全意识培训、强制实施多因素认证（如FIDO2或通行密钥），并建立基于行为分析的快速汇报机制，以加强人为风险管控，从而提升组织的整体防御能力。

消息来源：

https://www.esecurityplanet.com/threats/ai-powered-phishing-makes-human-risk-management-critical/

03.

热点技术

LinkedIn钓鱼滥用DLL侧加载实现持久访问

安全研究人员披露了一起利用LinkedIn私信发起的高级钓鱼攻击，该攻击通过发送伪装成工作文档的WinRAR自解压档案，诱使目标下载并运行恶意载荷。攻击包内包含合法PDF阅读器、恶意DLL、便携式Python解释器等组件，利用DLL侧加载技术，使PDF阅读器启动时优先加载恶意DLL并在其进程中执行恶意代码。恶意代码随后在注册表中创建启动项，利用便携式Python在用户登录时自动运行，并在内存中解码执行经过Base64编码的开源shellcode，实现无文件驻留，有效规避传统安全检测。整个攻击链表现出与远程访问木马一致的C2通信行为，旨在长期隐蔽控制受感染系统。这种攻击结合了社交平台的信任度与高级逃逸技术，凸显出针对社会工程攻击和终端内存行为检测防御的必要性。

消息来源：

https://www.esecurityplanet.com/threats/linkedin-phishing-abuses-dll-sideloading-for-persistent-access/

Cloudflare 漏洞使黑客能够直接访问Web服务器

安全研究人员披露了Cloudflare Web应用防火墙中存在的一个关键逻辑缺陷，该缺陷允许攻击者绕过所有已配置的WAF规则，直接访问受保护的源站服务器，可能导致内部敏感数据泄露。漏洞源于Cloudflare处理自动证书管理环境（ACME）HTTP-01挑战请求时的逻辑错误：当请求访问特定的/.well-known/acme-challenge/路径时，WAF保护会被错误地全局禁用。问题在于系统检测到请求与证书挑战令牌匹配时即暂停规则执行，但未正确验证该令牌是否属于目标主机名，致使恶意构造的请求可借此路径直通源站。在修复前这一缺陷使得未经过滤的流量能够绕过WAF防护，访问本应受保护的内部分资源，如环境配置文件、数据库凭据或应用敏感信息。虽然尚无证据表明漏洞在野外被主动利用，但研究人员已验证通过此绕过方法访问服务器敏感文件与环境变量的可行性。Cloudflare发布的补丁修复了此逻辑错误，现已确保仅在请求令牌确实匹配对应主机名的有效ACMEHTTP-01挑战时，才会临时放宽WAF规则；否则WAF将继续正常过滤请求。此次修复已在Cloudflare边缘网络范围内自动部署，无需客户进行手动干预。

消息来源：

https://cybernews.com/security/cloudflare-waf-bug-lets-hackers-bypass-defenses/

Azure DNS行为可能使私有终结点存在拒绝服务攻击

Microsoft Azure Private Link中DNS解析行为的设计限制可能导致跨多个虚拟网络（VNET）的内部服务发生类似拒绝服务的连接中断。该风险并非源于流量攻击或资源破坏，而是由于Azure在处理链接到多个VNET的私有DNS区域时强制优先使用私有解析逻辑。在Private Link架构中，私有端点会自动创建相应的私有DNS区域（例如privatelink.blob.core.windows.net），并链接到相关VNET，确保解析时返回资源的私有IP地址。但当同一私有DNS区域被链接到另一个VNET，而该区域内缺乏对应资源的有效记录时，DNS请求会优先查询该私有区域并因记录缺失而返回NXDOMAIN错误，从而导致即使资源的公共端点运行正常，也会导致对存储账户、函数应用等关键服务的访问被阻断。此DNS行为可能由多种场景触发：例如组织内部无意中将私有DNS区域链接至不一致的网络环境、第三方服务部署私有端点时意外改变解析路径，甚至恶意管理员利用该机制故意创建无效链接以引发故障。中断会严重影响依赖这些资源的CI/CD流水线、函数执行等业务流程。为缓解风险，建议实施严格的DNS管理与访问控制策略：可启用私有DNS区域的“回退到互联网”解析选项，使缺失私有记录时自动回退至公共解析；确保所有链接的VNET内私有DNS记录完整准确。

消息来源：

https://www.esecurityplanet.com/threats/azure-dns-behavior-can-turn-private-endpoints-into-dos-risks/

GNU InetUtils Telnetd漏洞允许攻击者以root身份登录

安全研究人员在GNU InetUtils项目的telnetd服务中发现一个严重权限提升漏洞，允许远程攻击者无需身份验证即获取系统root权限。该漏洞源于创建Telnet会话时，telnetd未对USER环境变量进行安全过滤，直接将其传递给系统的/usr/bin/login程序。攻击者可构造恶意USER值（如“-f root”），利用login程序对命令行参数的解释特性，绕过正常身份验证流程，直接以root身份登录系统。受影响的版本涵盖GNU InetUtils 1.9.3至2.7。漏洞的严重性在于攻击无需用户交互或有效凭据，仅需在连接阶段传递特制环境变量即可实现即时权限提升，暴露了旧版远程访问服务在基础验证逻辑上的根本缺陷。为缓解风险，安全专家建议立即升级至已修复的InetUtils版本，或彻底移除Telnet服务，并以SSH等更安全的协议替代；同时应严格限制对Telnet端口的网络访问，通过主机防火墙阻断非可信连接，并对相关活动实施监控与告警。

消息来源：

https://www.esecurityplanet.com/threats/gnu-inetutils-telnetd-flaw-lets-attackers-log-in-as-root/

Evelyn Stealer利用Visual Studio Code生态系统进行攻击

一场针对软件开发者的恶意攻击活动正在利用恶意Visual StudioCode扩展传播名为Evelyn Stealer的信息窃取木马。攻击者通过三个恶意扩展投放下载器Lightshot.dll，该下载器通过隐藏的PowerShell命令拉取第二阶段载荷，并将主窃取程序解密后注入合法Windows进程（如grpconv.exe）内存中以规避检测。该木马会窃取剪贴板内容、已安装应用、加密货币钱包、Wi-Fi凭证、系统信息以及浏览器凭据与Cookie等大量敏感数据，压缩后通过FTP传送到攻击者控制的服务器。为绕过安全防护，恶意软件会检测分析环境、终止浏览器进程并以无头模式重启浏览器，同时禁用GPU加速、沙箱、扩展和日志记录等功能，确保数据窃取过程隐蔽且不受干扰。此次攻击表明，开发者环境已成为高价值目标，一旦失陷可能直接导致凭证与资产泄露，并成为进一步入侵组织的跳板。

消息来源：

https://cybernews.com/security/evelyn-stealer-malware-vs-code-abuse/

04.

热点漏洞

Istio iptables规则注入漏洞（CVE-2026-23766）

Istio是一款开源的服务网格平台，用于连接、保护、控制和观测微服务应用。Istio<=1.28.2版本存在一个iptables规则注入漏洞。该漏洞产生的原因是traffic.sidecar.istio.io/excludeInterfaces注解允许用户指定要排除sidecar注入的网络接口，但未能对该注解的值实施有效的安全校验与限制。攻击者可利用该漏洞通过Pod创建者权限设置恶意注解，从而在Pod的网络命名空间中注入自定义的iptables规则，破坏目标系统的网络策略完整性。

影响版本：

Istio<=1.28.2

Grist pyodide沙箱逃逸漏洞（CVE-2026-24002）

Grist是一款使用Python作为公式语言的电子表格软件，支持在线协作与数据可视化。Grist<1.7.9版本存在一个pyodide沙箱逃逸漏洞。该漏洞产生的原因是在Node环境下运行的pyodide沙箱缺乏有效的隔离屏障。攻击者可利用该漏洞通过设置GRIST_SANDBOX_FLAVOR为pyodide并诱使用户打开恶意文档，从而在托管Grist的服务器上执行任意进程，破坏目标系统的完整性。

影响版本：

Grist<1.7.9

Langfuse Slack OAuth未授权绑定漏洞（CVE-2026-24055）

Langfuse是一个开源的大型语言模型工程平台，用于追踪、评估与优化AI应用中的提示与模型性能。Langfuse <=3.146.0版本存在一个Slack OAuth未授权绑定漏洞。该漏洞产生的原因是/api/public/slack/install端点未对客户端提供的projectId执行有效的认证与授权校验。攻击者可利用该漏洞通过指定任意projectId启动Slack OAuth流程，从而将攻击者的Slack工作区绑定到任意项目，破坏目标系统的集成机制完整性。

影响版本：

Langfuse<=3.146.0

D-Link D-View 8安装程序DLL劫持漏洞（CVE-2026-23755）

D-Link D-View 8是一款网络管理平台，用于监控、配置和管理D-Link及其他厂商的网络设备。D-Link D-View 8 <=2.0.1.107版本存在一个安装程序DLL劫持漏洞。该漏洞产生的原因是安装程序在通过UAC以提升权限执行时，会从其执行目录尝试加载version.dll，且未对DLL加载路径实施有效控制。攻击者可利用该漏洞在合法安装程序旁放置恶意version.dll，从而在受害者运行安装程序并批准UAC提示后以管理员权限执行攻击者控制的代码，破坏目标系统的完整性。

影响版本：

D-View 8<=2.0.1.107

Copier符号链接目录遍历任意文件覆盖漏洞（CVE-2026-23986）

Copier是一款用于渲染项目模板的库与命令行工具，支持基于模板快速生成项目结构。Copier <9.11.2版本存在一个符号链接目录遍历任意文件覆盖漏洞。该漏洞产生的原因是在使用安全模板（未启用自定义Jinja扩展等不安全功能）生成项目时，未能正确处理目录符号链接与_preserve_symlinks: true配置的组合。攻击者可利用该漏洞通过恶意模板构造目录结构，将生成的文件写入目标路径之外的任意目录覆盖用户具有写权限的任意文件，破坏目标系统的文件系统完整性。

影响版本：

Copier<9.11.2

05.

攻击情报

本周部分重点攻击来源及攻击参数如下表所示，建议将以下IP加入安全设备进行持续跟踪监控。

请注意：以上均为监测到的情报数据，盛邦安全不做真实性判断与检测

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：盛邦安全应急响应中心 《烽火狼烟丨暗网数据及攻击威胁情报分析周报（01/19-01/23）》