2026-02-06 01:56:44 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档为2026年2月5日信息安全快讯合集，涵盖10项重大安全事件：2025年开源仓库发现超45万个恶意软件包构成供应链结构性风险；TP-LinkArcher路由器曝命令注入漏洞(CVE-2025-14756)；Sicarii勒索软件存在密钥管理缺陷致无法解密；SmarterMail邮件服务器曝高危RCE漏洞(CVE-2026-24423)影响数万系统；新型语义链越狱攻击可绕过Grok等AI模型安全限制；VMwarevCenterServer漏洞(CVE-2024-37079)被CISA列入强制修补目录；中央网信办2025年处置仿冒假冒网站1418个；OpenSSL发现12个历史遗留漏洞部分可追溯至1998年；办公打印机监控软件存档完整打印内容致涉密案；SoundCloud数据泄露影响2980万用户。 综合评分： 75 文章分类： 供应链安全,漏洞预警,数据泄露,AI安全,安全大事件

cover_image

开源软件包恶意程序激增，去年发现超45万个构成供应链“结构性风险”

汇能云安全

2026年2月5日 09:56 广东

02月05日，星期四，您好！中科汇能与您分享信息安全快讯：

开源软件包恶意程序激增，去年发现超45万个构成供应链“结构性风险”

安全研究机构Sonatype在其最新报告中警告，开源生态系统正面临“结构性风险”。数据显示，2025年，开发者在Maven、PyPI等主流代码仓库下载组件的次数高达9.8万亿次，其中潜藏着大量恶意软件与漏洞。报告指出，去年新发现的恶意软件包数量达到惊人的454,648个，且威胁性质已从零散垃圾邮件演变为持续的“工业化行动”。

报告分析，恶意软件包往往并非攻击的终点，而是更大规模供应链入侵的第一步。超过半数恶意包属于“仓库滥用”，另有相当一部分是用于信息窃取、投放后门的加载器。攻击者日益采用拼写劫持、命名空间混淆等“社交和技术模仿”手段，瞄准疲惫开发者易忽略依赖项细节的弱点。此外，AI工具的广泛使用也带来了新风险，恶意载荷可能隐藏在AI模型或容器镜像中，而AI代理本身也可能被欺骗，推荐不存在的包或具有欺骗性的恶意包。

TP-Link Archer路由器曝命令注入漏洞，可让认证攻击者完全控制设备

安全研究人员披露了TP-Link Archer MR600 v5路由器中的一个高危命令注入漏洞（CVE-2025-14756，CVSS评分8.5）。该漏洞存在于设备的管理界面中，允许已通过身份认证的攻击者通过精心构造的输入，在设备上执行任意系统命令。尽管对命令长度有所限制，但攻击者仍可借此干扰服务或完全控制受影响的设备。

该漏洞明确影响固件版本早于v0001.0 Build 250930的Archer MR600 v5型号。虽然TP-Link表示该产品未在美国市场销售，但在其他地区使用的用户面临切实风险。攻击者一旦利用此漏洞控制路由器，不仅可窥探网络流量、劫持连接，更可能将其作为跳板，向内部网络发起横向移动攻击。TP-Link已发布修复固件，强烈建议所有受影响用户立即通过官方支持门户下载并安装更新，同时采取措施限制对路由器管理接口的访问。

新型Sicarii勒索软件被曝解密缺陷，受害者支付赎金也无法恢复数据

新兴的勒索软件即服务产品“Sicarii”被安全研究人员发现存在致命技术缺陷：即使受害者支付赎金，也无法成功解密被加密的数据。Halcyon研究中心指出，问题根源在于该勒索软件每次执行时都会在本地生成新的RSA密钥对用于加密，随后立即丢弃私钥。这意味着加密过程并未绑定到一个可恢复的主密钥上，导致攻击者提供的解密器也完全无效。

研究人员分析认为，如此低级的密钥管理错误，可能源于开发者使用了AI辅助工具进行“氛围编码”，或是技术极不熟练。该勒索软件还表现出诸多矛盾之处，如其宣传材料大量使用希伯来语和右翼意识形态符号，但实际活动以俄语进行，内容像是机器翻译，疑似“假旗行动”。Check Point研究显示，其运营者也显得经验不足。这一事件给受害组织的关键教训是：绝不能假设支付赎金就能恢复数据，尤其是在面对新兴、可疑的勒索软件团伙时，必须首先寻求独立的恢复途径验证。

SmarterMail邮件服务器曝高危远程代码执行漏洞，数万系统面临风险

奇安信CERT发布风险通告，企业级邮件服务器软件SmarterTools SmarterMail中存在一个高危远程代码执行漏洞（CVE-2026-24423，CVSS评分9.8）。该漏洞源于软件的ConnectToHub API接口未进行身份验证，攻击者可构造特定请求，诱导SmarterMail服务器连接至恶意HTTP服务器，并接收并执行恶意的操作系统命令。

成功利用此漏洞的攻击者可以远程在受影响的邮件服务器上执行任意命令，从而完全控制系统，可能导致敏感邮件数据泄露、服务中断等严重后果。目前该漏洞的技术细节与概念验证代码已公开，加剧了被广泛利用的风险。奇安信鹰图平台测绘数据显示，全球与该漏洞相关的风险资产超过4万个，影响范围较大。官方已发布修复版本Build 9511，鉴于漏洞危害性高且利用门槛较低，强烈建议所有使用受影响版本的用户立即升级至最新版本。

新型“语义链”越狱攻击曝光，可诱骗Grok等高级AI模型生成违禁内容

NeuralTrust研究人员揭示了一种针对多模态AI模型的新型“语义链”越狱攻击，可成功绕过Grok 4和Gemini Nano等模型的安全过滤器，生成被禁止的文本和视觉内容。该攻击并非直接发出有害提示，而是设计一系列看似无害的步骤，逐步累积并最终导向违反安全政策的输出。例如，在图像生成中，先要求绘制中性历史场景，再逐步替换元素，最终生成包含敏感内容的图像。

这种攻击利用了当前AI安全过滤器的固有缺陷：它们通常只针对孤立的单次提示进行审查，而无法有效追踪和评估多轮对话中逐步扩散的恶意意图。模型在单步判断中可能放行，但串联起来却导致有害结果。研究证实，通过“教育海报”或图解形式，攻击者甚至能将违禁文本指令嵌入图像中，而模型仅拒绝文本输出，却对像素形式的文本“视而不见”。这暴露了现有AI对齐与安全机制在面对复杂、分步诱导时的脆弱性。

VMware vCenter Server高危漏洞被证实遭利用，已加入CISA强制修补目录

美国网络安全与基础设施安全局（CISA）已将VMware vCenter Server中的一个关键远程代码执行漏洞（CVE-2024-37079）列入其“已知被利用漏洞”目录。该漏洞CVSS评分9.8，源于vCenter Server的DCE/RPC协议实现中存在堆溢出问题，允许攻击者远程执行任意代码。尽管博通已于2024年6月发布补丁，但CISA在近19个月后确认其正在被野外积极利用，凸显了修复的紧迫性。

安全专家警告，成功利用此漏洞的危害性极大。vCenter Server是管理VMware虚拟化环境的核心，攻击者一旦通过此漏洞获得控制权，便相当于获得了对环境中所有虚拟机、服务器和应用的“虚拟物理访问”权限，可以轻易禁用安全措施、破坏备份或加密整个数据存储。CISA的列入意味着所有联邦机构必须在三周内完成修补。对于广大企业，建议立即识别并隔离所有vCenter实例、应用最新补丁、实施严格的网络分段和零信任访问控制，并密切监控相关异常活动。

中央网信办2025年处置仿冒假冒网站1418个，涉国家机关、企业等多类目标

中央网信办举报中心公布，2025年依法受理并处置仿冒假冒网站平台1418个，较去年同期增加1.7倍。这些网站主要仿冒国家机关、国有企事业单位、学术期刊、民营企业、金融机构及学校等六类单位，通过“领取补贴”、“期刊征稿”、“投资理财”、“考试招生”等名义实施诈骗。相关网站服务器多设在境外，域名频繁跳转，社会危害大。

具体而言，仿冒人社部、国家税务总局等国家机关的网站达317个，发布虚假补贴、退税通知以套取个人信息；仿冒国家电网、中国石化等国企的网站323个，诱导虚假充值投资；仿冒学术期刊网站250个，骗取论文审稿费、版面费；此外还有大量仿冒民企、金融机构及虚构学校的网站。这些行为严重侵害人民群众财产安全与合法权益，扰乱了正常的网络秩序。网信办提醒广大网民提高警惕，仔细核对官网网址，并通过12377.cn等官方渠道举报可疑网站，共同维护清朗网络空间。

OpenSSL库发现12个历史遗留漏洞，部分可追溯至1998年危及全球通信安全

安全研究机构AISLE近期通过自主分析，在广泛使用的开源密码库OpenSSL中发现了12个此前未知的安全漏洞，并通过协调披露促使官方发布修复更新。令人震惊的是，其中部分漏洞在代码中已存在多年，最早可追溯到1998年，突显出即便在像OpenSSL这样经过数十年严格审查的成熟代码库中，识别细微缺陷依然极其困难。

此次修复的漏洞涵盖多个子系统，严重程度不一。其中最高危的是一个存在于CMS（密码消息语法）解析中的栈缓冲区溢出漏洞，在特定条件下可能导致远程代码执行。此外还包括多个中、低危漏洞，涉及崩溃、内存损坏或加密边缘情况。OpenSSL基金会感谢AISLE高质量的报告与合作，并指出这些发现凸显了传统人工审查和静态分析在应对复杂、长期代码库时的局限性。此次事件再次提醒全球依赖OpenSSL进行安全通信的无数应用和服务，必须及时更新至最新版本以消除潜在风险。

美政府承包商雇员涉密案曝光，办公打印机监控软件竟能存档完整打印内容

一起涉及美国政府承包商雇员的涉密案件披露了现代办公环境中一个令人不安的安全现实：企业打印系统安装的高级监控软件（如PaperCut）不仅记录打印任务的元数据，还能在后台自动存档所打印文件的完整内容副本。此案中，IT专家奥雷利奥・路易斯・佩雷斯-卢戈内斯被指控在安全设施内非法打印并带出机密文件，而调查的关键证据正是打印机软件存档的文档图像。

法庭文件显示，该雇员曾将机密情报报告截图并粘贴至一个标题为“Document1”的Word文档中进行打印，试图隐藏内容性质。然而，打印监控软件无视文件名，直接捕获并存储了文档内的机密截图内容，为FBI的调查提供了铁证。此案暴露了内部威胁防范中一个常被忽视的维度：打印机及其管理软件可能成为强大的监控和取证工具，但也同时意味着，任何不当的打印行为都可能留下无法抵赖的完整记录，对试图泄露信息的内部人员构成巨大风险。

SoundCloud曝重大数据泄露，近3000万用户电邮及个人资料信息遭窃取

2025年12月，知名音乐流媒体平台SoundCloud披露了一起影响约2980万用户账户的重大数据泄露事件。攻击者利用平台的一个漏洞，将公开的用户个人资料信息（如用户名、显示名称、头像、粉丝数等）与其关联的电子邮件地址进行大规模关联和窃取。此次泄露影响了SoundCloud约20%的总用户，是近年来音乐平台最严重的数据安全事件之一。

SoundCloud安全团队在发现异常活动后迅速启动调查和响应，并通知了受影响的用户。虽然密码和支付信息未被盗，但将电子邮件地址与详细的个人资料数据相结合，极大增加了用户遭受精准钓鱼攻击、社交工程攻击和凭证填充攻击的风险。据称，攻击者曾试图勒索SoundCloud，在被拒绝后公开了窃取的数据集。SoundCloud建议受影响用户启用账户双因素认证，警惕可疑邮件，并避免在其他平台重复使用相同密码。该事件再次凸显了企业保护用户PII数据，以及防范API滥用导致数据大规模泄露的紧迫性。

信息来源：人民网国家计算机网络应急技术处理协调中心国家信息安全漏洞库今日头条 360威胁情报中心中科汇能GT攻防实验室安全牛 E安全安全客 NOSEC安全讯息平台火绒安全亚信安全奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院安全帮卡巴斯基安全内参安全学习那些事安全圈黑客新闻蚁景网安实验室 IT之家IT资讯黑客新闻国外天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全《开源软件包恶意程序激增，去年发现超45万个构成供应链“结构性风险”》