日期: 2026年4月14日

研究人员发现通过钓鱼邮件传播的恶意JavaScript文件，该文件体积10MB经高度混淆，内嵌开源lib库。脚本right使用ActiveXObject实现持久化，通过PowerShell执行AES解密后的恶意Payload，目前仅15款杀软可检测。

研究人员发现针对EncystPHP webshell的扫描活动，该webshell主要针对脆弱的FreePBX系统。扫描来自荷兰IP地址160.119.76.250，攻击者还尝试利用FreePBX漏洞并添加后门账户。

文章介绍了Zero細信任项目推行一至两年后的现状，指出身份管理仍是主要挑战，包括身份蔓延、遗留系统例外和员工使用摩擦等问题，并探讨了AI代理大规模运行带来的新挑战以及应对措施。

2025年公开GitHub提交中泄露密钥达2865万个，同比增长34%。AI辅助代码的密钥泄露率是基线两倍，集成速度增10倍但凭证治理跟不上，多提供商集成进一步扩大暴露面。

人工智能正以超过个人电脑和互联网的速度进入主流应用，但其安全保障措施未能同步跟进。2025年人工智能事件达362起，较2024年增长显著，监控系统面临分类和分析挑战。

Anthropic发布Claude Mythos Preview模型，声称可发现并利用零日漏洞，引发安全社区对威胁行为者可能滥用该技术的担忧。

美国政府警告能源、水务等关键基础设施企业，受国家支持的攻击者正瞄准联网的工业运营技术设备。研究人员发现179个存在漏洞的OT设备，部分老旧系统允许未经认证的直接訪問。

Rockster Games确认遭受ShinyHunters黑客组织网络攻撃， attackers通过第三方SaaS平台Anodot入侵Snowflake环境并获取数据。黑客组织要求在4月14日前付款否则泄露数据，公司称无玩家信息受影响。

研究发现全球超8万台 Hikvision 监控摄像头存在11个月前的命令注入漏洞CVE-2021-36262，尽管漏洞严重且结露已久，仍有大量设备未修补。黑客正在俄罗斯暗 网论坛出售相关凭证，多个国家级威胁组织 可能rightrightright利用这些设备。