每日安全简讯(20260110)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Kimsuky黑客组织利用恶意二维码发起钓鱼攻击

美国联邦调查局（FBI）发布预警，称朝鲜国家支持的Kimsuky组织正利用恶意二维码开展鱼叉式钓鱼（Quishing）攻击，目标涵盖美国智囊团、学术机构及美外国政府实体。攻击通过诱导受害者用防护较弱的移动设备扫码，绕过传统防御。该组织多次实施攻击，包括仿冒外国顾问、使馆人员等推送二维码，诱导访问受控基础设施或伪造登录页面窃取谷歌账号凭证。此类攻击常窃取会话令牌绕过多因素认证（MFA）劫持云身份，后续可建立持久控制并发起二次钓鱼，因源于未受管理的移动设备，已成为企业环境中高可信度的身份入侵向量。

https://thehackernews.com/2026/01/fbi-warns-north-korean-hackers-using.html

---

2 NodeCordRAT远控木马通过恶意NPM包进行传播

研究人员发现，三款伪装成比特币库的恶意NPM包可传播NodeCordRAT远程控制木马，专门针对加密货币领域人群。这三款包名为bip40、bitcoin-lib-js、bitcoin-main-lib，累计下载量超3400次，仿冒合法bitcoinjs项目名称诱导开发者下载。安装前两款包会自动拉取含病毒的bip40，过程无任何提示。该木马通过Discord私人频道接收指令控制受感染设备，支持执行shell命令、截取桌面截图、窃取文件等操作，重点靶向Chrome保存密码、MetaMask钱包助记词与密钥及API密钥等敏感信息。

https://hackread.com/discord-nodecordrat-steal-chrome-data-npm-packages/

---

3 思科交换机因DNS客户端漏洞陷入重启循环

据报道，多款思科交换机因固件DNS客户端漏洞陷入反复重启循环，严重扰乱网络运营。该漏洞于凌晨2时左右开始显现，会将DNS解析失败判定为致命错误，导致设备重启，故障源于DNS客户端解析思科域名及NTP时间服务器时出错，重启周期仅数分钟。受影响型号包括CBS250、SG350、Catalyst C1200等系列，多个独立网络同期出现故障，推测为全球触发或时间相关条件所致。思科暂未公开根源，但已向客户确认问题。管理员发现禁用DNS解析、关闭SNTP等临时方案可终止重启循环，即便DNS服务器正常可用。

https://www.bleepingcomputer.com/news/security/cisco-switches-hit-by-reboot-loops-due-to-dns-client-bug/

---

4 委内瑞拉国有电信公司CANTV发生BGP泄露

美国抓捕马杜罗军事行动前夕，委内瑞拉国有电信公司CANTV（AS8048）发生BGP泄露，部分分析人士猜测系美国政府蓄意劫持流量获取情报。但Cloudflare研究员经历史路由数据分析得出结论，该事件实为CANTV工程师技术失误与配置不当所致。2026年1月2日泄露发生时，CANTV流量异常转向安全声誉较差的意大利运营商Sparkle，但异常路径存在多次AS路径前置导致路由优先级极低，与刻意窃密行为不符。且CANTV自2025年12月已发生11次类似泄露，加之其作为上游运营商本就可合法访问客户流量，无需复杂劫持。

https://securityonline.info/spy-games-or-glitch-the-truth-behind-venezuelas-bgp-leak/

---

5 微软误将开源激活工具MAS识别为恶意软件

微软已知晓热门开源工具微软激活脚本（MAS）及攻击者注册仿冒域名传播恶意软件的情况，遂部署Microsoft Defender自动拦截仿冒激活工具。但因过滤逻辑异常，Microsoft Defender误将官方MAS脚本判定为威胁，导致用户通过PowerShell执行激活命令时触发错误。官方与恶意脚本的域名仅差一个“d”字母（官方：get.activated.win；恶意：get.activate.win），推测微软不慎将官方域名纳入黑名单。

https://securityonline.info/collateral-damage-microsoft-defender-blocks-official-mas-script-in-malware-war/

---

6 CISA一次性撤销2019年至2024年间发布的10项紧急指令

美国网络安全与基础设施安全局（CISA）宣布成功退役2019-2024年间发布的10项紧急指令，这是该机构单次退役此类指令数量最多的一次，标志着联邦网络安全领域的重要里程碑。这些指令已完成缓解联邦民事行政部门（FCEB）紧急风险的使命，CISA通过与联邦机构紧密合作推动修复、植入最佳实践，强化了数字基础设施韧性。退役原因包括相关漏洞被纳入已知被利用漏洞（KEV）目录，或指令目标已达成、要求与当前风险态势不符。涉及指令涵盖缓解DNS篡改、SolarWinds攻击、微软Exchange漏洞等。CISA代理局长表示，未来将持续推进“设计即安全”原则，提升组织防御能力。

https://www.cisa.gov/news-events/news/cisa-retires-ten-emergency-directives-marking-era-federal-cybersecurity

---