每日安全简讯(20260319)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员发现多个恶意的PHP Composer软件包

研究人员在PHP的Packagist仓库中识别出了6个发布在ophimcms命名空间下的恶意软件包。这些包模仿了OphimCMS的命名规范，这是一款专门用于电影流媒体网站的越南语Laravel开源内容管理系统。这6个软件包均携带了被植入恶意代码的JavaScript资源，主要伪装成合法的jQuery库。其恶意行为包括流量劫持、数据外泄、广告注入等。截至报告发布时，这些软件包在Packagist上仍处于活跃状态。研究人员已向Packagist安全团队提交了下架请求。

https://socket.dev/blog/6-malicious-packagist-themes-ship-trojanized-jquery

---

2 LeakNet勒索组织利用ClickFix技术传播恶意文件

研究人员发现，LeakNet勒索组织正在利用ClickFix技术（一种通过伪造错误提示，诱导用户手动运行恶意命令的社会工程学手段）通过被攻击的合法网站传播恶意文件。研究人员识别出一种基于Deno构建的分阶段C2加载器，该加载器主要在内存中执行载荷。在所有已确认的LeakNet相关事件中，研究人员发现攻击者会进行相同的后期渗透行为。

https://reliaquest.com/blog/threat-spotlight-casting-a-wider-net-clickfix-deno-and-leaknets-scaling-threat

---

3 研究人员对Payload勒索软件进行分析

研究人员对Payload勒索软件Windows版本的二进制文件进行了逆向分析，该勒索软件采用Curve25519密钥交换配合ChaCha20对称加密，每个文件的私钥都会从内存中擦除。如果没有攻击者的私钥，被加密的文件无法恢复。其加密方案、终止进程列表和二进制结构均与2021年9月泄露的Babuk构建器一致。该勒索软件具有Windows和ESXi双平台版本，并且使用一个名为“MakeAmericaGreatAgain”的互斥量。

https://www.derp.ca/research/payload-ransomware-babuk-derivative/

---

4 苹果发布首个后台安全改进更新以修复WebKit漏洞

苹果公司发布了首个后台安全改进更新，旨在修复iPhone、iPad和Mac上一个编号为CVE-2026-20643的WebKit漏洞，且无需进行完整的操作系统升级。这是苹果首次通过其全新的后台安全改进功能推送安全修复程序。该功能用于在正常软件更新周期之外，交付小型的带外补丁。CVE-2026-20643漏洞允许恶意网页内容绕过浏览器的同源策略。苹果表示，该漏洞是Navigation API中的一个跨域问题，目前已通过改进输入验证得到解决。

https://www.bleepingcomputer.com/news/security/apple-pushes-first-background-security-improvements-update-to-fix-webkit-flaw/

---

5 网络攻击导致俄罗斯彼尔姆市停车缴费系统瘫痪

俄罗斯城市彼尔姆在经历上周的网络攻击后，现已恢复其停车缴费系统。此前，该攻击导致服务下线，迫使全市临时实行了数日的免费停车。彼尔姆市当局确认，系统现已全面恢复运行，所有支付方式均已恢复正常。据当地官员称，此次服务中断是由大规模分布式拒绝服务攻击引起的，攻击流量压垮了该市的自动化停车缴费基础设施。目前尚无攻击组织声称对此负责。

https://therecord.media/cyberattack-russia-parking-system

---

6 Medusa勒索组织声称对密西西比州医院及新泽西州帕塞伊克县发动攻击

密西西比大学医学中心（UMMC）在2月底遭受网络攻击，并于3月2日全面重新开放。Medusa勒索组织声称对此次攻击负责，并索要80万美元的赎金。此外，该组织声称对新泽西州的帕塞伊克县发动了攻击，同样索要80万美元的赎金。该县两周前曾表示，其正在处理一起导致全县政府办公室电话线路和IT系统瘫痪的恶意软件攻击事件。

https://therecord.media/medusa-ransomware-mississippi-cyber

---