文章总结： 文档汇总了2026年4月15日全球多起网络安全事件：Adobe修复被积极利用的AcrobatReader漏洞(CVE-2026-34621)，wolfSSL库漏洞可能被用于证书伪造，孟加拉国水文系统遭入侵数据被贩卖，KSubsea集团遭Everest勒索软件攻击泄露293GB数据，CPUID网站被篡改传播STXRAT木马。同时揭露新型攻击手法：Okta语音钓鱼绕过传统防护，伪造Proxifier安装程序传播ClipBanker木马。建议及时更新补丁、验证软件来源、加强员工社会工程学防范。 综合评分： 85 文章分类： 漏洞预警,恶意软件,数据泄露,社会工程学,安全事件

美国联邦通信委员会 (FCC) 选择 ioXt Alliance 领导网络安全标签计划

SOC SOC

赛欧思安全研究实验室

2026年4月15日 09:30 河南

在小说阅读器读本章

去阅读

• Adobe 修复了正被积极利用的 Acrobat Reader 漏洞

  Adobe 发布紧急安全更新，修复了 Acrobat Reader 中一个被积极利用的关键漏洞 CVE-2026-34621（CVSS评分8.6），该漏洞为原型污染型 JavaScript 漏洞。此漏洞可能允许攻击者在受影响的系统上执行恶意代码。

  来源: CN-SEC 中文网

• wolfSSL 库中的严重漏洞导致伪造证书被滥用

  wolfSSL SSL/TLS 库中存在一个关键漏洞，该漏洞在验证椭圆曲线数字签名算法（ECDSA）签名时，因对哈希算法或其长度的验证不当，可能导致安全性降低。据该项目网站称，wolfSSL 已被全球超过 50 亿个应用程序和设备采用。

  来源: BleepingComputer

• 孟加拉国水文信息管理系统数据泄露事件

  据称，由孟加拉国政府下属的孟加拉国水利开发局（BWDB）运营的关键基础设施平台——水文信息管理系统（HIMS）——已遭入侵。据报道，该网站的访问权限及数据正以 100 美元的价格被兜售。据攻击者称，遭泄露的数据包括：孟加拉国全境的河流水位、地下水及降雨数据、水质数据等。

  来源: Daily Dark Web

• K Subsea 集团遭遇 Everest 勒索软件大规模数据泄露

  “Everest” 勒索软件团伙声称已入侵总部位于新加坡的知名商业潜水及水下工程服务提供商 K Subsea Group。据该团伙称，此次泄露的数据包含 142370 个文件，总计 293.44 GB，涵盖了大量运营、公司及人事记录。

  来源: Daily Dark Web

• CPUID水坑攻击传播STX RAT恶意软件

  攻击者入侵了 CPUID 网站，并将 CPU-Z 和 HWMonitor 的下载链接替换为恶意文件，这一情况持续了数小时。下载这些文件的用户感染了 STX RAT 木马，导致攻击者能够远程访问其系统。调查显示，攻击者控制了一个辅助 API 约六小时，导致网站显示恶意链接。

  来源: Security Affairs

• Okta 遭遇攻击，黑客绕过钓鱼攻击直指身份验证系统

  黑客正逐渐放弃电子邮件钓鱼，转而利用语音社会工程学（即“Okta语音钓鱼”）直接针对 Okta 及其它身份提供商发起攻击。攻击者不再发送链接，而是通过电话引导受害者执行一系列操作，从而夺取身份提供商的控制权。

  来源: GBHackers

• 伪造的 Proxifier GitHub 安装程序传播 ClipBanker 加密货币木马

  黑客正利用托管在 GitHub 上的伪造 Proxifier 安装程序，传播一种多阶段的 ClipBanker 恶意软件，该软件会悄无声息地劫持受感染系统中的加密货币交易。该攻击活动结合了搜索引擎中毒、植入木马的安装程序以及无文件技术，将受害者的钱包地址替换为攻击者控制的地址。

  来源: GBHackers

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC SOC《美国联邦通信委员会 (FCC) 选择 ioXt Alliance 领导网络安全标签计划》