每日安全简讯(20260409)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 俄罗斯APT组织劫持路由器实施DNS攻击

研究人员发现俄罗斯军事情报组织"森林暴雪"（Forest Blizzard）自2025年8月起大规模入侵家庭及小型办公室路由器，通过篡改DNS设置实施域名劫持与中间人攻击。该组织利用dnsmasq工具控制DNS解析，将受害者流量导向恶意服务器，进而对Microsoft Outlook等TLS加密连接发起攻击，窃取敏感数据。目前已识别超过200家组织及5000台消费级设备受影响，目标涵盖政府、IT、电信及能源等关键行业。这是首次观测到该组织将DNS劫持与AiTM攻击相结合的大规模应用。

https://www.microsoft.com/en-us/security/blog/2026/04/07/soho-router-compromise-leads-to-dns-hijacking-and-adversary-in-the-middle-attacks/

---

2 黑客劫持SaaS通知平台发送钓鱼邮件

研究人员发现攻击者正大规模滥用GitHub和Jira等协作平台的自动通知基础设施发送钓鱼邮件。此类攻击利用平台自身邮件服务器投递恶意内容，通过SPF、DKIM和DMARC等身份验证，绕过传统邮件安全网关检测。在GitHub攻击中，攻击者创建代码仓库并将恶意诱饵嵌入提交信息，利用自动通知机制将钓鱼内容发送至协作者邮箱。数据显示2月17日高峰日约有2.89%的GitHub邮件与此滥用活动相关。Jira攻击则滥用服务台邀请功能，通过伪造项目名称和欢迎消息实施社会工程。

https://blog.talosintelligence.com/weaponizing-saas-notification-pipelines/

---

3 黑客利用ComfyUI漏洞组建挖矿僵尸网络

研究人员发现针对互联网暴露的ComfyUI实例的活跃攻击活动，ComfyUI是一个流行的稳定扩散平台。攻击者使用专门构建的Python扫描器持续扫描主要云IP范围寻找易受攻击的目标，自动安装恶意节点。成功入侵后，受感染主机被添加到加密货币挖矿作业中，使用XMRig挖掘门罗币并使用lolMiner挖掘Conflux，同时还被添加到Hysteria V2僵尸网络中。两者都通过基于Flask的命令控制C2仪表板集中管理。

https://censys.com/blog/comfyui-servers-cryptomining-proxy-botnet/

---

4 Docker Engine发现高危授权绕过漏洞

研究人员披露Docker Engine高危漏洞（CVE-2026-34040，CVSS 8.8）。该漏洞存在于授权中间件，当API请求体超过1MB时，系统会在安全插件检查前静默丢弃请求体，导致攻击者可通过填充JSON数据绕过权限控制，创建特权容器并获取宿主机root权限。当前官方已发布补丁。建议立即升级，并在授权插件中配置空请求体默认拒绝策略，部署多层监控机制检测异常容器创建行为。

https://www.cyera.com/research/one-megabyte-to-root-how-a-size-check-broke-dockers-last-line-of-defense

---

5 Ninja Forms插件关键漏洞遭在野利用

WordPress Ninja Forms文件上传高级插件中发现关键漏洞CVE-2026-0740，CVSS评分高达9.8分，目前已在攻击中被积极利用。该漏洞允许未经身份验证的攻击者上传任意文件，可能导致远程代码执行。Ninja Forms是一个流行的WordPress表单构建器，下载量超过60万次，其文件上传扩展服务9万客户。漏洞源于目标文件名上文件类型扩展名验证的缺失，允许未经身份验证的攻击者上传任意文件，包括PHP脚本，还可利用路径遍历操纵文件名。研究人员建议用户立即将Ninja Forms文件上传升级到最新版本并限制文件上传功能。

https://www.wordfence.com/blog/2026/04/50000-wordpress-sites-affected-by-arbitrary-file-upload-vulnerability-in-ninja-forms-file-upload-wordpress-plugin/

---

6 Snowflake遭数据窃取第三方集成商成攻击入口

云数据平台Snowflake披露其少数客户账户出现异常活动，攻击者通过入侵SaaS集成提供商窃取身份验证令牌实施数据盗窃。Snowflake已冻结可能受影响的账户并通知客户，强调自身系统未遭入侵。攻击者利用窃取的令牌试图访问包括Salesforce在内的多个数据源，虽被AI检测系统拦截部分攻击，但仍成功从十余家企业窃取数据。臭名昭著的ShinyHunters勒索团伙已承认实施此次攻击，声称上周五从数十家公司窃取数据，并正以泄露数据为要挟进行勒索。该团伙暗示已渗透Anodot较长时间。

https://www.bleepingcomputer.com/news/security/snowflake-customers-hit-in-data-theft-attacks-after-saas-integrator-breach/

---