Marimo漏洞披露仅10小时后遭黑客利用
发布时间 2026-04-131. Marimo漏洞披露仅10小时后遭黑客利用
4月12日,Marimo是一个备受欢迎的开源响应式Python notebook平台,其一个严重漏洞在公开披露仅10小时后就被黑客积极利用。该漏洞编号为CVE-2026-39987,GitHub对其严重程度评分为9.3分,允许攻击者在Marimo 0.20.4及更早版本中无需任何身份验证即可远程执行代码。Marimo通常被数据科学家、机器学习从业者、研究人员和开发人员用于构建数据应用程序或仪表板,在GitHub上拥有20,000个star和1,000个fork,用户基础广泛。该漏洞的根本原因在于WebSocket端点“/terminal/ws”暴露了交互式终端,但未进行适当的身份验证检查,使得任何未经身份验证的客户端都可以直接连接,获得与Marimo进程相同权限的完整交互式shell。Marimo于4月8日披露了该漏洞,并于昨日发布了0.23.0版本进行修复。开发者指出,该漏洞主要影响将Marimo部署为可编辑笔记本的用户,以及在编辑模式下使用--host 0.0.0.0将Marimo暴露于共享网络的用户。据云安全公司Sysdig的研究人员称,在漏洞详情披露后的前12小时内,就有125个IP地址开始进行侦察活动。披露后不到10小时,研究人员就观察到了第一次利用尝试。
https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/
2. 黑客声称控制了威尼斯圣马可广场的防洪泵系统
4月12日,近日,意大利威尼斯圣马可广场的防洪液压泵系统遭到网络攻击,一个自称“基础设施破坏小组”或“黑暗引擎”的组织声称已获得系统管理权限,并扬言可以“瘫痪防御系统并淹没沿海地区”,将网络入侵演变为潜在的物理灾难。该组织在其Telegram频道上发布中文帖子,宣称已完全控制意大利基础设施和交通部下属的防洪系统,并公开以600美元的价格出售系统的完全root权限。虽然当局确认保护圣马可大教堂的关键系统未受影响,但该事件暴露了一个令人担忧的现实:即使是具有高度象征意义和战略意义的基础设施,也可能被探测、访问和操纵。与传统IT系统不同,OT系统直接与物理过程交互。一旦遭到破坏,后果不仅是数据丢失,还会导致服务中断、经济损失,甚至威胁公共安全。此次攻击始于3月下旬,攻击者入侵了系统控制界面,4月初开始公布控制面板截图、系统布局图和阀门状态图等证据。
https://securityaffairs.com/190679/hacktivism/hackers-claim-control-over-venice-san-marco-anti-flood-pumps.html
3. 近4000台美国工业设备遭受伊朗网络攻击
4月10日,与伊朗有关联的黑客组织正持续对美国关键基础设施网络发起攻击,目标包括数千台由罗克韦尔自动化公司制造的、暴露在互联网上的可编程逻辑控制器(PLC)。根据美国多个联邦机构周二发布的联合公告,自2026年3月以来,伊朗国家支持的黑客组织一直以Rockwell Automation/Allen-Bradley PLC设备为目标,已造成运营中断和经济损失。报告机构警告称,这些攻击活动最近有所升级,很可能是对伊朗与美国和以色列之间敌对行动的回应。联邦调查局认定,攻击行为已导致设备项目文件被提取,以及人机界面和监控系统显示屏上的数据遭到篡改。网络安全公司Censys次日报告称,在全球发现的5200多个暴露在互联网上的此类工业控制系统中,四分之三来自美国。数据显示,全球有5,219个暴露于互联网的主机响应EtherNet/IP协议并自称为罗克韦尔自动化设备,其中美国占全球暴露量的74.6%,共3,891个主机。值得注意的是,蜂窝运营商ASN的份额不成比例地高,表明现场部署的设备位于蜂窝调制解调器上,进一步扩大了攻击面。
https://www.bleepingcomputer.com/news/security/nearly-4-000-us-industrial-devices-exposed-to-iranian-cyberattacks/
4. CPUID遭入侵,CPU-Z/HWMonitor下载链接被篡改
4月10日,黑客成功获得了CPUID项目的API访问权限,并篡改了官方网站上的下载链接,将流行的硬件检测工具CPU-Z和HWMonitor的安装程序替换为恶意可执行文件。这两个实用程序拥有数百万用户,他们依靠这些工具来跟踪计算机内部硬件的物理健康状况和系统全面规格。近期,在Reddit上下载这两款工具的用户报告称,官方下载门户指向Cloudflare R2存储服务,获取的却是另一款诊断工具HWiNFO的木马版本。CPUID发言人提供声明称,调查仍在进行中,但初步判断4月9日至10日期间,一个辅助功能(外部API)遭到入侵,持续时间约6小时,导致主网站随机显示恶意链接,但官方签名的原始文件未受影响。入侵被发现后已修复。卡巴斯基研究人员分析指出,此次入侵从4月9日15:00 UTC持续到4月10日10:00 UTC左右,攻击者散布了CPU-Z 2.19、HWMonitor Pro 1.57、HWMonitor 1.63和PerfMonitor 2.04的恶意版本。根据卡巴斯基监测,超过150名用户下载了恶意变种,除个人用户外,主要位于巴西、俄罗斯和中国的零售、制造、咨询、电信和农业等行业的企业也受到影响。
https://www.bleepingcomputer.com/news/security/supply-chain-attack-at-cpuid-pushes-malware-with-cpu-z-hwmonitor/
5. Storm-2755发动工资劫持攻击窃取加拿大员工工资
4月10日,一个名为Storm-2755的、以经济利益为目的的威胁行为者,正通过劫持加拿大员工的账户,发动工资重定向(又称工资劫持)攻击,窃取员工的工资。攻击者利用恶意Microsoft 365登录页面,通过恶意广告或SEO投毒将这些页面推至搜索引擎结果顶部,诱骗受害者输入凭证。这些伪装成Microsoft 365登录表单的恶意网页,能够捕获受害者的身份验证令牌和会话cookie。Storm-2755通过重放被盗的会话令牌而非重新进行身份验证,成功绕过了中间人攻击中的多因素身份验证保护。获取员工账户访问权限后,攻击者首先创建收件箱规则,自动将人力资源部门发送的包含“直接存款”或“银行”字样的邮件移动到隐藏文件夹,阻止受害者查看这些邮件。随后,他们搜索“工资”、“人力资源”、“直接存款”和“财务”等关键词,向人力资源部门员工发送主题为“关于直接存款的问题”的钓鱼邮件,诱骗员工更新银行信息。当社交工程攻击失败后,攻击者直接登录Workday等人力资源软件平台,利用窃取的会话手动更新直接存款详情,将工资转入自己控制的账户。
https://www.bleepingcomputer.com/news/microsoft/microsoft-canadian-employees-targeted-in-payroll-pirate-attacks/
6. 国际执法行动确认超2万名加密货币诈骗受害者
4月11日,由英国国家犯罪调查局牵头的国际执法行动“大西洋行动”已确认,在加拿大、英国和美国境内有超过20,000名加密货币诈骗受害者。这项联合行动于上个月展开,参与方包括英国国家犯罪调查局、美国特勤局、安大略省警察局、安大略省证券委员会以及多家私营企业合作伙伴。英国国家犯罪调查局表示,在为期一周的行动中,多个执法机构在其伦敦总部通过实时情报共享、技术能力和受害者援助,在全球范围内捣毁了多个诈骗网络,伦敦金融城警察局、金融行为监管局和其他国际执法机构也参与了此次行动。调查人员冻结了超过1200万美元的涉嫌犯罪所得,这些款项是通过“授权钓鱼”攻击获得的。在这种攻击中,诈骗分子通常通过投资骗局诱骗受害者授予其访问加密货币钱包的权限。此外,执法人员还查明了与全球诈骗活动相关的超过4500万美元的被盗加密货币。官员们表示,“大西洋行动”中使用的公私合作模式将成为英国政府最近宣布的反欺诈战略的核心要素,该战略将行业数据和执法专业知识联系起来,以实现欺诈预防。
https://www.bleepingcomputer.com/news/security/police-identifies-20-000-victims-in-international-crypto-fraud-crackdown/
京公网安备11010802024551号