每日安全简讯(20260502)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型Python后门借隧道服务窃取凭证

研究人员发现名为DEEP#DOOR的新型Python后门将远控木马嵌入投放脚本中，通过bore[.]pub隧道服务建立命令与控制通道，以窃取浏览器和云环境相关凭证。该恶意程序利用隧道通信隐藏真实基础设施，并结合对Windows防御机制的规避能力，增加了安全产品识别与溯源分析的难度。报道指出，这种将Python RAT、投放脚本与公共隧道服务结合的方式，使攻击者能够更隐蔽地维持控制并实施数据窃取，给终端与云账户安全带来风险。

https://thehackernews.com/2026/04/new-python-backdoor-uses-tunneling.html

---

2 攻击者借GitHub门面分发EtherRAT木马

研究人员发现一场自2026年3月开始、针对企业管理员的恶意活动，利用44个伪装成合法管理工具的GitHub门面页面分发EtherRAT远控木马。该行动还结合以太坊智能合约机制，为命令与控制（C2）基础设施提供更具弹性的轮换能力，从而提升隐蔽性与持续运作能力。报道指出，这种将代码托管平台伪装资源与区块链技术结合的方式，使攻击链更难被传统封堵手段一次性切断，并增加了企业环境被入侵和后续控制的风险。整体来看，此次活动反映出攻击者正通过更分散、更耐打击的基础设施提升针对高权限目标的攻击效果与生存能力。

https://thehackernews.com/2026/04/etherrat-distribution-spoofing.html

---

3 cPanel关键认证绕过漏洞遭零日利用

研究人员发现，cPanel、WHM及WP Squared中的高危漏洞CVE-2026-41940正被作为零日漏洞在野利用，相关攻击尝试最早可追溯至2026年2月23日。该漏洞本质为登录与会话加载流程中的CRLF注入，源于Authorization头中的用户可控输入在认证前被写入服务端会话文件，且未充分过滤，可能导致绕过密码校验直接登录。watchTowr已公开技术分析，Rapid7警告成功利用后攻击者可控制主机系统、配置、数据库及托管网站。cPanel已于4月28日发布修复，并建议升级后重启cpsrvd；若暂无法修补，应限制2083、2087、2095、2096端口访问或停止相关核心服务。

https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/

---

4 热门WordPress重定向插件被曝潜伏后门多年

拥有逾7万安装量的WordPress插件Quick Page/Post Redirect被发现曾在约五年前被植入后门。研究人员Austin Ginder在排查其托管环境中12个触发安全告警的网站时发现，官方5.2.1和5.2.2版本在2020至2021年间包含隐藏的自更新机制，会连接第三方域名anadnet.com，从而绕过WordPress.org分发任意代码。2021年3月，部分站点还从外部服务器静默接收了被篡改的5.2.3版本，植入仅对未登录访客触发的被动后门，疑似用于寄生虫SEO垃圾内容投放。WordPress.org已暂时下架该插件等待审查，目前尚不清楚是作者主动植入还是其发布流程遭第三方入侵。研究人员建议受影响用户卸载该插件，并在恢复上架后改用WordPress.org提供的干净5.2.4版本。

https://anchor.host/wordpress-plugin-hijacked-in-2020-hid-a-dormant-backdoor-for-years/

---

5 PyTorchLightning供应链攻击致凭证窃取

研究人员发现PyTorch Lightning在供应链攻击中受到影响，恶意版本Lightning 2.6.2和2.6.3于4月30日被发布，并植入了隐藏载荷，用于窃取凭证信息。事件曝光后，相关恶意包已被PyPI隔离，并触发了强制修复措施，以降低进一步扩散和滥用风险。报道标题还提及intercom-client同样遭到供应链攻击，但给定内容主要披露的是PyTorch Lightning恶意版本及其行为。此次事件再次表明，开源生态中的软件包一旦发布链路被利用，可能对开发者环境和凭证安全造成直接威胁，用户需尽快核查依赖版本并完成处置。

https://thehackernews.com/2026/04/pytorch-lightning-compromised-in-pypi.html

---

6 乌克兰警方抓获盗卖Roblox账号团伙

乌克兰警方在利沃夫逮捕3名嫌疑人，指控其入侵并倒卖超过61万个Roblox账号，非法获利约22.5万美元。执法人员在10处地点搜查后，查获3.5万美元现金以及手机、台式机、笔记本、平板和U盘等设备。检方称，该团伙针对Roblox用户，利用伪装成游戏增强工具的信息窃取恶意软件感染受害者设备，进而窃取登录凭证。被盗账号随后按价值、稀有物品库存和Robux余额分类，并通过俄罗斯网站及封闭网络社区出售。官方表示，2025年10月至2026年1月期间，被控制账号中至少357个为高价值“精英”账号。3名嫌疑人年龄分别为19岁、21岁和22岁，已被以盗窃和非法干扰信息系统等罪名起诉，最高可面临15年监禁，案件仍在进一步调查中。

https://gp.gov.ua/en/posts/na-lvivshhini-zatrimano-xakersku-grupu-yaka-zlamuvala-igrovi-akaunti-i-otrimala-maize-10-mln-grn-pributku-vid-yix-prodazu-v-rosiyu

---