每日安全简讯(20250407)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜组织Lazarus新增11个恶意npm

2025年4月5日，朝鲜黑客组织Lazarus近期在npm生态系统中发布了11个具有远程访问木马（RAT）加载程序功能的新包。这些最新样本采用十六进制字符串编码来规避自动检测系统和手动代码审计，表明威胁行为者的混淆技术存在差异。该威胁组织的目标保持不变：破坏开发人员系统，窃取敏感凭证或金融资产，并保持对受感染环境的访问权限。

https://socket.dev/blog/lazarus-expands-malicious-npm-campaign-11-new-packages-add-malware-loaders-and-bitbucket?&web_view=true

---

2 Apache Parquet曝远程代码执行漏洞

2025年4月4日，研究员近期监测到Apache Parquet开源数据格式库存在严重安全漏洞（CVE-2025-30065），其Java版本因Schema解析逻辑缺陷允许远程攻击者通过恶意文件执行任意代码。该漏洞影响范围覆盖1.15.0及之前版本，已被官方修复。Aqua公司披露的攻击案例显示，攻击者正利用自动化工具扫描未修复的Apache服务（如Tomcat），部署加密劫持及持久化后门。

https://thehackernews.com/2025/04/critical-flaw-in-apache-parquet-allows.html

---

3 WinRAR漏洞可绕过系统Web标志安全警告

2025年4月5日，研究人员发现WinRAR文件存档器解决方案中的漏洞可被利用来绕过Web 标记（MotW）安全警告，并在Windows计算机上执行任意代码。MotW是Windows的一项安全功能，用于将Internet下载的潜在不安全文件标记为潜在不安全文件。

https://www.bleepingcomputer.com/news/security/winrar-flaw-bypasses-windows-mark-of-the-web-security-alerts/

---

4 SpotBugs令牌泄露引发GitHub供应链攻击

2025年4月4日，GitHub供应链攻击事件的根本原因被确定为开源项目SpotBugs的个人访问令牌（PAT）泄露。攻击者通过伪造拉取请求（PR）渗透SpotBugs的CI/CD流程，窃取维护者PAT后横向攻击至reviewdog、tj-actions/changed-files等GitHub Action，最终导致Coinbase等218个代码库泄露敏感信息，包括AWS密钥、GitHub令牌及加密货币钱包凭证。

https://thehackernews.com/2025/04/spotbugs-access-token-theft-identified.html

---

5 KongTuk利用假验证码实施剪贴板劫持

2025年4月5日，网络安全公司 Palo Alto Networks Unit 42近日揭露新型攻击链“KongTuke”，其通过入侵合法网站注入恶意脚本，诱导用户执行伪装成CAPTCHA（验证码）验证的剪贴板劫持（pastejacking），最终下载未知恶意软件。

https://cybersecuritynews.com/fake-captcha/

---

6 Coinbase将修复误导用户的2FA活动记录

2025年4月5日，Coinbase交易平台正在修复一条引起用户焦虑的漏洞。过去几周，该交易平台不少用户在收到Coinbase钓鱼邮件或短信后，登录账户查看活动日志，发现有“二次验证失败”等记录，再次尝试登录后会提示异常地点登录，这让用户以为密码被破解、平台遭入侵，进而引发焦虑并采取改密码、查恶意软件等措施。但实际情况是，输入错误的2FA（双因素认证）代码或密码也会导致该提示出现。Coinbase已表示在未来将会考虑修改错误提示信息。

https://www.bleepingcomputer.com/news/security/coinbase-to-fix-2fa-account-activity-entry-freaking-out-users/

---