文章总结： 文档汇总了近期多起网络安全事件：新力量党与RoundOneAI发生数据泄露；GachiLoader恶意软件借YouTube传播；Perplexity浏览器及IPVanishVPN被曝高危漏洞；FreeScout存在零点击RCE缺陷。同时微软主导打击了Tycoon2FA钓鱼设施。建议相关用户及时修补漏洞并加强数据防护。 综合评分： 65 文章分类： 数据泄露,漏洞预警,恶意软件,安全大事件

美国战争部推出开源软件栈，推动5G/6G网络创新与定制化应用

SOC SOC

赛欧思安全研究实验室

2026年3月6日 11:37 河南

• 新力量党数据泄露事件暴露 3.3 万用户记录

  2026年3月，一名威胁行为者在知名网络犯罪论坛上公开了台湾知名政党新力量党（NPP）可供下载的数据库，逾 33000 名用户个人信息疑似遭泄露。泄露数据包含：完整姓名、电子邮箱地址、电话号码、实际居住地址、Line账号、职业信息、出生日期、性别、账户创建及更新时间戳。

  来源: Daily Dark Web

• RoundOne人工智能数据泄露事件暴露求职者信息

  据称，人工智能驱动的招聘平台 RoundOne AI 遭到入侵，导致 3706 名求职者和用户的个人记录外泄。据称泄露的数据包括：候选人AI摘要、候选人评级、候选人技能、电子邮箱地址、完整姓名、地理位置、电话号码、订阅信息。

  来源: Daily Dark Web

• GachiLoader：通过 API 跟踪击败 Node.js 恶意软件

  GachiLoader 是一种高度混淆的 Node.js 恶意软件，用于分发 Rhadamanthys 窃密器。攻击者利用 YouTube 被入侵账号传播伪装成游戏外挂的恶意软件，通过 PE 注入技术诱导系统从内存加载恶意 PE 文件。

  来源: CN-SEC 中文网

• Perplexity 的 Comet 浏览器遭日历邀请攻击入侵

  Zenity Labs 的安全研究人员披露了 Perplexity 旗下 Comet “智能代理”浏览器中的一个关键漏洞，攻击者可通过恶意 Google 日历邀请窃取本地文件。该漏洞被命名为 PerplexedBrowser，攻击过程无需用户额外操作，仅需执行”接受会议”等常规请求。

  来源: GBHackers

• 微软主导了对 Tycoon2FA 网络钓鱼服务基础设施的打击行动

  欧洲刑警组织称，Tycoon2FA 服务是全球规模最大的网络钓鱼行动之一，其基础设施已被由微软牵头的多家 IT 公司和执法机构联合摧毁。查封了支撑 Tycoon2FA 核心基础设施的 330 个活跃域名，包括其控制面板和欺诈性登录页面。

  来源: CSOonline

• IPVanish VPN for macOS 漏洞可实现权限提升与代码执行

  在适用于 macOS 的 IPVanish VPN 应用程序中发现了一个高危安全漏洞，该漏洞允许任何无特权的本地用户在无需用户交互的情况下，以 root 权限执行任意代码，漏洞源于权限分离控制机制的彻底失效。

  来源: GBHackers

• Mail2Shell 零点击攻击使黑客能够劫持 FreeScout 邮件服务器

  FreeScout 客服平台存在最高危漏洞，黑客无需任何用户交互或身份验证即可实现远程代码执行。该漏洞编号为 CVE-2026-28289，更严重的是漏洞可通过发送至 FreeScout 配置邮箱的恶意邮件附件触发。

  来源: BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC SOC《美国战争部推出开源软件栈，推动5G/6G网络创新与定制化应用》