2026-01-31 23:44:41 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本周赛欧思资讯汇总涵盖勒索、数据泄露及高危漏洞。NightSpire与Osiris勒索软件活跃，MatchGroup、SoundCloud及耐克等遭遇大规模数据泄露。关键漏洞包括SolarWindsRCE、vm2沙箱逃逸、Office0day及WordPress后门。此外，朝鲜黑客利用AI生成恶意软件，多态钓鱼与实时语音钓鱼工具涌现。建议企业尽快修补高危漏洞，警惕AI辅助的高级威胁与供应链攻击。 综合评分： 82 文章分类： 威胁情报,漏洞预警,数据泄露,恶意软件,安全大事件

cover_image

赛欧思一周资讯分类汇总(2026-01-26 ~ 2026-01-31)

SOC SOC

赛欧思安全研究实验室

2026年1月31日 09:31 河南

一周资讯分类汇总：

1、勒索事件：

尼加拉瓜 DataBank 公司遭 NightSpire 勒索软件攻击

NightSpire 勒索软件团伙宣称已入侵尼加拉瓜知名金融数据解决方案提供商 DataBank。据该组织宣称，此次入侵导致 48.5GB 敏感信息外泄，涉事数据包括：内部财务记录、客户数据库及联系信息、机密企业文件、员工薪资与人力资源档案、技术基础设施文档。

来源: Daily Dark Web
新型 Osiris 勒索软件采用 POORTRY 驱动攻击安全软件，企业终端防护面临高级别对抗威胁

新型 Osiris 勒索软件利用 POORTRY 恶意驱动实施 BYOVD 攻击，禁用受害主机上的终端安全软件并窃取数据，为勒索软件部署扫清障碍，使得企业终端防护面临高级别对抗威胁。

来源: CN-SEC 中文网

2、攻击事件：

威胁行为者伪造蓝屏死机和可信构建工具，绕过防御并部署 DCRat

PHALT#BLYX 攻击活动通过伪造蓝屏死机和 Booking.com 钓鱼邮件来诱骗受害者在其系统上运行恶意代码，利用 MSBuild.exe 等可信工具绕过防御，部署 DCRat 木马，针对酒店餐饮企业实施远程访问控制。

来源: CN-SEC 中文网
研究人员揭露利用 SharePoint 绕过安全控制的多阶段 AiTM 攻击

微软 Defender 研究人员揭露了一场针对能源行业组织的复杂中间人钓鱼攻击活动。攻击者利用 SharePoint 文件共享服务绕过传统电子邮件安全防护机制，成功入侵多个用户账户。

来源: GBHackers

3、漏洞情报：

SolarWinds 警告 Web Help Desk 存在关键远程代码执行漏洞及身份验证绕过缺陷

SolarWinds 已发布安全更新，修复其 Web Help Desk IT 服务台软件中存在的严重身份验证绕过和远程命令执行漏洞（编号 CVE-2025-40552 和 CVE-2025-40554），漏洞由 watchTowr 的 Piotr Bazydlo 发现。

来源: BleepingComputer
MCP 工具 0Day 漏洞使系统面临远程代码执行风险

Gemini MCP 工具中披露了一个关键的 0day 漏洞，允许未经身份验证的远程攻击者在无需用户交互或身份验证的情况下，在易受攻击的安装环境中执行任意代码，该漏洞编号为 CVE-2026-0755，CVSS 评分为 9.8。

来源: GBHackers
流行 vm2 NodeJS 库中发现关键沙箱逃逸漏洞

vm2 Node.js 沙箱库中存在一个危及系统安全的漏洞（追踪编号 CVE-2026-22709），该漏洞允许攻击者突破沙箱限制，在底层主机系统上执行任意代码。鉴于该漏洞在易受攻击的 vm2 版本中极易被利用，建议用户尽快升级至最新版本。

来源: BleepingComputer
微软针对 Office 活跃 0day 漏洞发布紧急补丁

微软已发布紧急带外安全更新，用于修复 Microsoft Office 中一个正被积极利用的 0day 漏洞(CVE-2026-21509)。该漏洞允许威胁行为者在诱骗用户打开恶意文件后，绕过 Office 内置的安全防护措施，此类文件通常通过网络钓鱼或社会工程手段传播。

来源: eSecurity Planet
NetSupport Manager 0day 漏洞可实现远程代码执行

NetSupport Manager 中存在两个关键的 0day 漏洞，当这些漏洞被串联利用时，可实现未经身份验证的远程代码执行（RCE）。这两项漏洞（编号 CVE-2025-34164 和 CVE-2025-34165）存在于远程控制软件未公开的广播功能中。

来源: GBHackers
微不足道的 Telnet 认证绕过漏洞使设备面临完全接管风险

启用 Telnet 的计算机正面临被入侵的即时风险，因其存在关键漏洞可让攻击者绕过身份验证。该漏洞（追踪编号CVE-2026-24061）可被远程轻易利用，由于该漏洞自 1.9.3 版本起已在代码库中存在11年之久，很可能影响大量已停止支持且无法获得固件更新的设备。

来源: CSOonline
20000 个 WordPress 网站因后门漏洞遭入侵，恶意管理员可获取访问权限

在 Elementor 插件的 LA-Studio Element Kit 中发现的重大后门漏洞，正对超过 20000 个 WordPress 安装构成直接威胁。该漏洞编号为 CVE-2026-0920，CVSS 严重性评分为 9.8，允许未经身份验证的攻击者创建管理员账户并完全控制网站。

来源: GBHackers
HPE Alletra 与 Nimble 存储漏洞使远程攻击者获得管理员权限

惠普企业公司发布安全公告，披露影响多款存储产品线的严重远程权限提升漏洞。该漏洞 CVE-2026-23594（CVSS v3.1基础评分为 8.8）可能使具备低级凭证的远程攻击者在特定配置下完全控制受影响系统。

来源: GBHackers

4、信息泄露：

ShinyHunters 声称窃取 Match Group 旗下约会应用的 1000 万条约会记录

ShinyHunters 利用暗网论坛展示其最新攻击目标，据称此次攻击针对的是 Tinder 母公司 Match Group 旗下的约会应用。攻击者宣称从 AppsFlyer 窃取了超过 1000 万条用户数据记录及数百份内部文件，据披露被盗数据约 1.7GB 压缩文件。

来源: Cybernews
帕内拉面包数据泄露事件：ShinyHunters 声称窃取 1400 万条记录

ShinyHunters 黑客组织宣称已入侵美国知名烘焙咖啡连锁快餐品牌 Panera Bread（帕内拉）。该组织于2026年1月27日在其暗网泄露平台发布了相关信息。据称遭窃数据包含超过 1400 万条记录，压缩格式总容量达 760MB。

来源: Daily Dark Web
SoundCloud 数据泄露事件影响 2980 万账户

音频流媒体平台 SoundCloud 系统遭黑客入侵，超过 2980 万用户账户的个人信息与联系方式被盗。调查发现，勒索组织 ShinyHunters 是本次攻击的幕后黑手，该组织曾试图勒索 SoundCloud。

来源: 黑客资讯
耐克数据泄露指控浮出水面，WorldLeaks 泄露 1.4TB 文件至网络

在用户持续评估安德玛数据泄露事件之际，由 Hunters International 勒索软件团伙更名的 WorldLeaks 组织宣称已攻破美国大型运动鞋服企业耐克公司。攻击者声称窃取了超过 1.4TB 的耐克数据，包含 188347 个文件，目前正被持续泄露至网络。

来源: HackRead
Crunchbase遭黑客入侵，ShinyHunters确认数据泄露事件

知名商业情报平台 Crunchbase 因遭受网络攻击引发重大数据泄露事件而登上头条。黑客组织 ShinyHunters 宣称对此次攻击负责，并表示已从 Crunchbase 系统窃取近 200 万份文件。报道显示，攻击者曾向 Crunchbase 索要赎金，但该公司据称拒绝支付。

来源: Cyber Security Insiders
运动品牌安德玛就 7200 万条客户记录泄露展开调查

2026年1月，安德玛确认调查 7200 万条客户记录泄露事件，数据由珠峰勒索软件团伙于2025年11月攻击获取，含用户个人信息及购买记录，支付系统与密码未受影响。当时该团伙宣称获取了 343GB 数据并试图勒索赎金。

来源: CN-SEC 中文网
阿尔巴尼亚驻俄使馆疑遭数据泄露，1.18GB敏感文件现身暗网

2026年1月25日，暗网论坛出现阿尔巴尼亚驻俄使馆疑似数据泄露，威胁行为者“HaxChipper”宣称已获取并公开约 1.18GB 的敏感文件，总量超过 3900 份邮件，内容据称为该使馆内部外交或行政文档，并以 ZIP 压缩包形式通过 MEGA 平台分发。

来源: CN-SEC 中文网

5、恶意软件：

HoneyMyte 更新了 CoolClient，并在最近的活动中部署了多个窃取程序

HoneyMyte 组织更新了 CoolClient 后门并部署多种窃取程序，针对亚洲和欧洲的政府机构，新增剪贴板监控、HTTP 代理凭据嗅探等功能，并通过浏览器登录数据窃取器和脚本实现大规模数据外泄。

来源: CN-SEC 中文网
朝鲜黑客利用 AI 生成的 PowerShell 后门程序瞄准区块链开发者

朝鲜威胁行为体 Konni 近期被发现使用 AI 工具生成的 PowerShell 恶意软件，Konni 使用伪装成合法项目文档的诱饵内容，针对区块链领域的开发者和工程团队发起攻击。该钓鱼活动已瞄准日本、澳大利亚和印度用户。

来源: 黑客资讯
Lazarus 黑客组织在新一轮采访活动利用虚假字体传播恶意软件

Lazarus 黑客组织通过虚假招聘和恶意 GitHub 代码库，利用 VSCode 任务自动化功能及伪装成字体文件的恶意软件，针对软件开发工程师发起供应链攻击，部署 InvisibleFerretPython 后门以窃取加密货币和凭据。

来源: CN-SEC 中文网
G_Wagon NPM 包利用用户窃取浏览器凭证，采用混淆式有效载荷

一种伪装成合法 npm UI 组件库的高级信息窃取恶意软件，正通过 ansi-universal-ui 包针对开发者发起攻击。该恶意软件内部代号为 “G_Wagon”，采用多阶段混淆技术，从受感染系统中窃取浏览器凭证、加密货币钱包、云认证密钥及消息传递令牌。

来源: GBHackers
新型恶意软件工具包无需更改网址即可将受害者重定向至恶意网站

一种危险的新型恶意软件工具包正在俄罗斯网络犯罪论坛上兜售，它能将受害者重定向至虚假网站，同时让真实域名在浏览器地址栏中保持可见。这款名为 Stanley 的工具包售价在 2000 至 6000 美元之间。

来源: GBHackers

6、钓鱼事件：

网络犯罪分子利用人工智能生成的恶意招聘信息传播 PureRAT 恶意软件

一名越南威胁行为者正利用人工智能生成的代码推动钓鱼攻击活动，通过伪装成真实工作机会的诱饵传播 PureRAT 恶意软件及相关有效载荷，从而入侵企业系统，攻击活动最初由趋势科技于 2025 年 12 月记录。

来源: GBHackers
生成式 AI 现可创建活体多态钓鱼页面

攻击者正利用生成式 AI 创建动态组装的钓鱼页面，这些页面仅在受害者访问看似无害的网站后才自行组装完成，通过 AI 实时生成恶意代码，规避传统安全检测，具备多态性和隐蔽性。

来源: CN-SEC 中文网
钓鱼工具包现已同步实时电话诈骗者，突破多因素身份验证

研究人员发现了一种专门针对语音社交工程攻击（通常称为”语音钓鱼”）设计的钓鱼工具包，该工具包能将虚假登录页面与实时电话对话同步，从而绕过多因素认证。该钓鱼工具包针对谷歌、微软、Okta等主要身份提供商及各类加密货币平台。

来源: The Cyber Express

7、国际安全情报：

数百个 Clawdbot 网关遭暴露，API 密钥和私密聊天受影响

代码卫士 Clawdbot 作为一款迅猛发展的开源 AI 智能体网关，正面临日益严峻的安全隐患：目前已有超过 900 个未设身份验证的实例暴露在互联网上，且其代码存在多处漏洞，可能导致凭据被盗与远程代码执行后果。

来源: 安全内参

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC SOC《赛欧思一周资讯分类汇总(2026-01-26 ~ 2026-01-31)》