每日安全简讯(20250406)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 乌克兰行政机构和关键基础设施遭钓鱼攻击

2025年4月4日，乌克兰计算机应急响应中心（CERT-UA）监测到一系列针对政府机构及关键基础设施的网络攻击。攻击组织UAC-0219将钓鱼邮件伪装成薪资调整通知的恶意链接或PDF附件。受害者点击后下载VBS加载器，触发PowerShell脚本窃取特定格式文件并截屏。

https://thehackernews.com/2025/04/cert-ua-reports-cyberattacks-targeting.html

---

2 PyPI仓库中存在窃取用户敏感数据的恶意包

2025年4月5日，安全机构发现PyPI仓库中存在恶意Python包bitcoinlibdbfix、bitcoinlib-dev及disgrasya，三者累计下载量超3.9万次。前两者伪装成比特币库修复程序，通过劫持clw cli命令窃取数据库文件；后者disgrasya伪装成自动化信用卡测试脚本，针对使用WooCommerce与CyberSource支付网关的商户，模拟购物流程验证被盗卡信息并回传至指定恶意域名。

https://thehackernews.com/2025/04/malicious-python-packages-on-pypi.html

---

3 开源平台Kubernetes NGINX曝4个高危漏洞

2025年4月4日，研究员在Kubernetes的Ingress NGINX控制器中发现4个高危漏洞，其中CVE-2025-1974允许攻击者通过恶意注解注入NGINX配置，在集群验证阶段实现未经认证的远程代码执行，进而窃取敏感凭证、横向渗透甚至完全控制集群。其他漏洞（CVE-2025-1097/1098/24514）涉及TLS认证绕过、流量镜像劫持等。攻击链利用控制器准入Webhook未认证缺陷，通过伪造请求植入恶意指令。受影响版本包括v1.11.4及以下和v1.12.0，官方已发布v1.11.5与v1.12.1修复版本。

https://cybersecuritynews.com/ingressnightmare/

---

4 Android间谍软件卸载时强制要求输入密码

2025年4月4日，研究员发现一款Android间谍软件通过滥用系统“覆盖”功能强制用户输入密码以阻止卸载。该恶意软件通常由具备设备物理访问权限的攻击者植入，获取设备管理员权限后隐藏图标，并在用户尝试通过系统设置卸载时触发密码弹窗（密码由安装者预设）。该软件可窃取短信、位置、照片等敏感数据，且利用合法功能增强隐蔽性。

https://cybersecuritynews.com/android-spyware-asks-password-to-uninstall/

---

5 React Router路由库存在一个高危漏洞

2025年4月4日，安全团队zhero_web_security披露React Router路由库存在影响使用Express适配器的React Router 7及Remix 2框架的高危漏洞（CVE-2025-31137）。该漏洞源于对HTTP请求头Host和X-Forwarded-Host的端口参数处理不当所致，攻击者可在端口字段注入恶意路径名，从而使路由逻辑被篡改。利用此漏洞可实现缓存中毒及绕过Web应用防火墙（WAF）规则，进一步实施XSS或权限提升攻击。

https://cybersecuritynews.com/react-router-vulnerability-exposes-web-apps/

---

6 CISA向KEV目录添加了一个堆栈溢出漏洞

2025年4月4日，美国CISA将Ivanti Connect Secure、Policy Secure及ZTA网关的堆栈溢出漏洞（CVE-2025-22457）列入已知被利用漏洞（KEV）目录。该漏洞允许远程攻击者通过缓冲区溢出实现代码执行，影响Connect Secure 22.7R2.5及更早版本、已停服的Pulse Secure 9.1R18.9设备。

https://www.cisa.gov/news-events/alerts/2025/04/04/cisa-adds-one-vulnerability-kev-catalog

---