大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结： 近期安全事件频发，攻击者手段持续升级：社会工程学转向语音钓鱼攻击Okta身份系统；APT41针对Linux云服务器窃取凭证；恶意Chrome扩展劫持用户会话；伪造MSI安装包和浏览器扩展精准攻击金融用户；PlugX蠕虫通过U盘跨洲传播；伪造Proxifier安装包在GitHub传播窃取加密货币；Obsidian插件被武器化执行恶意命令；W3ll钓鱼平台被捣毁；攻击者利用带签名的驱动关闭EDR产品；OpenAICodex在三星电视上获取root权限，凸显消费电子设备安全风险。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学,应用安全,iot安全

---

汇能云安全

2026年4月15日 09:53 广东

在小说阅读器读本章

去阅读

4月15日，星期三，您好！中科汇能与您分享信息安全快讯：

01

攻击者不再发钓鱼邮件，而是直接打电话拿下Okta

最新披露显示，攻击者正在绕开传统邮件钓鱼，转而通过语音社工直接攻击企业身份系统，重点目标之一就是Okta。报道指出，这类攻击会先用电话冒充IT支持、身份团队或安全部门，诱导员工重置认证、提交一次性验证码，甚至在“协助排障”的名义下配合完成关键登录动作。最危险的地方在于，一旦攻击者进入Okta，就不只是拿下一个账号，而是可能顺着SSO直接进入SharePoint、OneDrive、邮箱和其他核心业务系统。过去大家把主要注意力放在“别点陌生链接”，但现在真正需要警惕的，是那些听起来比邮件更像真的、而且更容易让人放松防备的电话和语音协助。

02

APT41把Linux云服务器变成凭证收割机，云端长期潜伏更难防了

APT41正在把攻击重心进一步推向Linux云工作负载。其最新Winnti家族后门以ELF植入体形式运行，重点瞄准AWS、Google Cloud、Microsoft Azure和阿里云上的Linux实例，目标并不是立刻搞破坏，而是悄悄收集云凭证、维持长期控制并持续扩大权限。这个变化很值得警惕，因为很多企业的防护思路仍停留在“Windows终端和办公网”，而真正承载数据库、业务接口和自动化任务的，反而是那些长期在线、权限很高、但监控不一定足够细的云端Linux实例，一旦这类主机被种下后门，攻击者获取的不只是单台服务器，而是整个云环境里一串可继续放大的访问能力。

03

08个恶意Chrome扩展同时下手，浏览器正在变成新的劫持入口

一场大规模网络间谍活动正在利用108个恶意Chrome扩展窃取用户数据和劫持在线会话。公开分析显示，这批扩展并不是零散作案，而是依托共享的命令控制基础设施统一运转，安装后会在后台长期监视浏览行为，收集个人与企业敏感信息。之所以值得高度关注，是因为扩展生态天然带有“功能增强工具”的伪装，很多用户不会像警惕可执行程序那样去防备一个浏览器插件。更麻烦的是，浏览器本身正越来越靠近办公、支付、协作和云访问核心，一旦扩展被武器化，损失就不止是Cookie被偷，而可能演变成会话接管、邮箱失守和云端数据被持续拖走。

04

假MSI安装包加恶意浏览器扩展，Janela RAT开始精准收割金融和币圈用户

一场新的Janela RAT攻击活动今天被披露。研究显示，攻击者正在通过伪造MSI安装包与恶意浏览器扩展的组合方式渗透受害系统，目标集中在智利、哥伦比亚和墨西哥的金融、金融科技和加密货币领域。Janela RAT并不是“刚出现”的名字，但这次活动显示它正在被包装得更像普通安装流程：用户看到的是下载、安装、浏览器补充组件这些再正常不过的动作，背后却是在持续窃取敏感金融数据。此类攻击真正可怕的地方，在于它不靠复杂漏洞，而是把用户每天都会做的操作链条重新武器化。对公众来说，这也再次提醒一个现实问题：软件看起来越正常，越可能让人忘记它其实也能是攻击入口。

05

新型PlugX蠕虫借U盘跨洲传播，老式传播介质并没有退出历史舞台

近日曝光的新型PlugX蠕虫，再次证明U盘并没有因为云盘和即时传输普及就失去风险。报道指出，该样本通过DLL侧载方式隐藏在USB设备中，并已在横跨近十个时区的多个大洲被发现。很多人对USB传播的印象还停留在十多年前，但正因为大家觉得“这种老手法过时了”，它在现实环境里反而更容易得手。对部分政企、工业、离线办公和内网场景来说，U盘依旧是常见的数据搬运工具，一旦被感染，就可能把原本隔离得还不错的环境重新暴露给攻击者。比起“新不新”，这类威胁真正难缠的地方在于它抓住了现实工作流程中一直没有消失的那条物理传输链。

06

假Proxifier安装包藏进GitHub，币圈用户熟悉的软件也成了偷币入口

攻击者正通过伪造的Proxifier安装包传播ClipBanker类加密货币窃取恶意程序，之所以危险，是因为Proxifier本身是很多技术用户、代理用户和加密货币玩家都不陌生的工具，而这次攻击把恶意样本放进“看起来很正常”的GitHub分发路径中，进一步放大了可信感。ClipBanker最典型的能力，就是在用户复制钱包地址时悄悄替换成攻击者控制的钱包，让转账在受害者毫无察觉的情况下发生偏移。很多人觉得偷币一定要靠交易所失守或私钥直接泄露，但现实里，一次看似普通的软件下载安装，也足以让资金被悄悄带走。对币圈用户来说，下载来源比功能本身更值得先审。

07

黑客开始武器化Obsidian插件，笔记工具也会变成跨平台恶意代码入口

一场针对金融和加密货币人群的新攻击活动今天被曝光。攻击者利用的是Obsidian的Shell Commands社区插件，通过社工接触和伪装流程，引导受害者在自己的设备上执行恶意命令，而且整个过程并不依赖任何软件漏洞。换句话说，问题不在Obsidian“被黑”，而在于攻击者抓住了人们对生产力工具和插件生态的天然信任：笔记工具、脚本插件、自动化命令，这些原本为了提升效率的能力，一旦落到错误的人手里，也能被重新拼成攻击链。对于普通用户，这事听起来或许有点“技术圈内部”，但它背后的趋势很明确——攻击者越来越爱挑那些大家每天都在用、而且默认不太会出事的工具下手。

08

W3LL钓鱼平台被联手打掉，黑产“工具即服务”模式再受重击

美国FBI亚特兰大办公室与印尼执法机构已联手摧毁W3LL钓鱼基础设施。公开披露显示，这套钓鱼工具包曾支持绕过多因素认证，并与超过2000个钓鱼域名及约17000名受害者相关，累计尝试欺诈金额超过2000万美元。它的影响之所以大，不只是因为“做了很多钓鱼页”，而是因为W3LL把钓鱼和入侵做成了一门标准化生意：有人负责开发工具，有人负责卖接入，有人负责收网，购买者甚至不需要很强的技术能力，也能发起高质量攻击。此次打击值得关注，因为它再次证明，网络犯罪早已不是个体黑客单打独斗，而是越来越像一个分工明确、交付完整、可复制扩张的地下服务业。

09

研究人员逆向出可关闭CrowdStrike的0day驱动，签名信任链正被反向利用

有攻击者正在使用一种BYOVD手法，通过带有有效微软数字签名的驱动，在内核层关闭包括CrowdStrike Falcon在内的EDR产品。更值得警惕的是，研究人员称已识别出15个以上相关变种，而这些样本当前在主流杀毒引擎上的检出率极低。这个问题的重点，不只是“某个EDR能不能被关掉”，而是Windows对已签名驱动的信任机制，正在被攻击者反过来当成掩护。过去大家习惯把签名看作安全保证，但在BYOVD场景里，签名恰恰可能帮助恶意代码更顺利地进入内核。对企业来说，这意味着终端安全的真正难点越来越前移：不是等勒索开始再告警，而是要先看谁在偷偷拆掉报警器。

10

Codex在三星电视上拿到root，这不是炫技，而是消费电子安全的新提醒

OpenAI的Codex模型在一台真实三星智能电视上，通过利用可写内核驱动接口完成了权限提升并拿到root。这个案例最值得关注的，并不是“AI居然也会打电视”，而是它把一个本就存在的现实问题放得更大：消费电子设备里的安全短板，正在被越来越强的自动化分析与利用能力放大。智能电视、机顶盒、家居网关这类设备往往长期在线、补丁节奏慢、用户安全意识低，一旦底层驱动和权限边界设计有问题，后果就不只是某个功能异常，而可能变成整个家庭网络的薄弱环节。AI并没有凭空创造漏洞，但它确实可能让发现和利用这些漏洞的速度变得比过去更快。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《Codex在三星电视上拿到root，这不是炫技，而是消费电子安全的新提醒》