沙虫病毒与供应链安全：软件供应链成为网络安全的阿喀琉斯之踵

无论是React2Shell、沙虫病毒（Shai-Hulud）还是XZ Utils漏洞，软件供应链安全正面临多重风险威胁。现代应用程序由众多组件构成，每个组件连同其开发环境都可能成为攻击入口。无论企业

假期最忙的不是 IT，而是勒索猫 — 一次被很多 CIO / CSO 忽略的“年底安全体检”

🧨 场景一：假期第一天，勒索猫已经进门了年终总结刚交完，团队准备开年会，放假，真正开始“加班”的，却是勒索猫。现实中的很多勒索事件，并不是“突然被攻破”，而是：旧的VPN 服务还在公网子域名没人管测试

俄语黑客伪装以色列组织，Sicarii勒索软件实为假旗行动

Check Point 安全研究人员发布了对 Sicarii 勒索软件即服务（RaaS）组织的分析报告。该组织于 2025 年底出现，虽然其极力标榜自己是一个爱国的以色列和犹太组织，但证据表明这很可能

Windows远程协助漏洞可绕过安全防护机制

微软已发布关键安全更新修复（CVE-2026-20824），该漏洞存在于Windows远程协助功能中，会导致保护机制失效，允许攻击者绕过"网络标记"（MOTW）防御系统。Part01漏洞概括该漏洞于2

网络犯罪市场如何洗白数据泄露收益及安全团队的盲区

Part01数据泄露后的黑色产业链运作某个平静的周日夜晚，某企业客户数据库遭入侵。数百万条凭证和银行卡信息被悄无声息地窃取、分类后，出现在网络犯罪论坛知名欺诈商店中。随后几天，小型犯罪团伙购买这些数据

Magecart再度来袭，长期网络窃密活动瞄准全球支付网络

安全研究人员发现一起持续活跃的大规模网络窃密活动，该活动针对在线零售商的结账页面，悄无声息地窃取毫无戒备的消费者信用卡数据。这项被统称为"Magecart"的复杂攻击行动至少自2022年1月起就开始活

微软桌面窗口管理器0Day漏洞遭野外利用

微软在2026年1月13日的"补丁星期二"更新中修复了其桌面窗口管理器（DWM）中的一个关键0Day信息泄露漏洞，此前已监测到该漏洞在野外遭到主动利用。该漏洞编号为CVE-2026-20805，允许低

俄罗斯APT组织利用PLUGGYAPE恶意软件攻击乌克兰国防部队

乌克兰计算机应急响应小组（CERT-UA）近日披露，乌克兰国防部队遭受新型网络攻击，攻击者使用PLUGGYAPE恶意软件。政府专家以中等可信度将该攻击归因于俄罗斯关联组织Void Blizzard（又

朝鲜远程工作者通过身份窃取入侵敏感系统牟利6亿美元

Part01内鬼威胁的演变近年来，网络安全格局发生了根本性转变，内部威胁的定义不断演进。过去数十年间，企业安全工作的重点一直是防范心怀不满的员工或疏忽大意的承包商泄露敏感数据。而如今，最具危害性的内部

黑客利用"浏览器套浏览器"技术窃取Facebook用户登录凭证

Facebook用户正日益成为一类能绕过常规安全措施的复杂钓鱼技术的攻击目标。作为拥有超过30亿活跃用户的平台，Facebook对企图入侵账户、窃取个人凭证的攻击者极具吸引力。这类攻击的主要目的十分明

伊朗MuddyWater组织在最新攻击中部署基于Rust的植入程序

网络安全公司CloudSEK披露，与伊朗有关联的高级持续性威胁组织MuddyWater近期在针对以色列和中东其他国家的间谍活动中，部署了基于Rust语言的恶意植入程序。Part01RustyWater

恶意Chrome扩展窃取钱包登录凭证并实施自动化交易

一款名为 MEXC API Automator 的恶意 Chrome 扩展正滥用浏览器插件的信任机制，窃取 MEXC 用户的加密货币交易权限。该插件伪装成自动化交易和 API 密钥生成工具，暗中控制新

暗网论坛BreachForums遭“黑吃黑”，神秘黑客泄露全部用户数据

Part01BreachForums数据泄露事件网络犯罪地下世界发生戏剧性转折，一位名为"James"的神秘黑客泄露了暗网知名论坛BreachForums的完整用户数据库。该论坛是臭名昭著的被盗数据交

钉钉或企业微信数据安全如何做；境内和海外的数据安全有什么区别 | FreeBuf热门电台精选集第十七期

📢本期热门电台抢先看：1.使用钉钉或企业微信数据安全如何做?🏢2.请教各位，数据安全方面，境内和海外有什么区别？🔐3.一点给金融行业同行的数据安全工作建议🪙————————————『FreeBuf电台

n8n供应链攻击滥用社区节点窃取OAuth令牌

安全研究人员发现威胁行为者在npm注册表上传了八个伪装成n8n工作流自动化平台集成组件的恶意软件包，旨在窃取开发者的OAuth凭证。其中名为"n8n-nodes-hfgjf-irtuinvcm-las

利用零宽度字符的隐形JavaScript混淆工具InvisibleJS浮出水面

InvisibleJS是一款利用不可见零宽度Unicode字符隐藏JavaScript代码的新型开源工具，其潜在恶意用途已引发安全警报。该工具由开发者oscarmine托管在GitHub上，采用隐写术

杀猪盘即服务：揭秘"企鹅"组织如何将全球诈骗产业化

杀猪盘骗局已从混乱的"锅炉房"模式演变为流水线式的自动化服务经济。Infoblox最新报告揭示了"杀猪盘即服务"（PBaaS）模式如何让犯罪分子像订阅软件服务一样轻松开展工业化规模的诈骗活动。Part

EDRStartupHinder可阻断Windows 11启动时的杀毒软件与EDR服务

以开发EDR-Freeze和EDR-Redir等EDR规避工具闻名的安全研究员TwoSevenOneT，本周发布了EDRStartupHinder工具。该工具通过Windows Bindlink重定向

Instagram确认系统未遭入侵，1700万用户数据泄露实为旧数据翻新

Meta旗下社交平台Instagram近日否认发生数据泄露事件。此前大量用户收到未经请求的密码重置邮件，引发超过1700万账户数据遭泄露的传闻。Part01异常邮件触发安全警报事件起源于大量用户报告收

Everest黑客组织宣称入侵日产汽车公司

Everest黑客组织宣称对日产汽车有限公司(Nissan Motor Co., Ltd.)实施了重大数据入侵，这再次引发人们对大型汽车制造商数据安全问题的担忧。Part01数据泄露概括据早期报告显示

Instagram曝大规模数据泄露事件，1750万用户信息遭泄露

网络安全公司Malwarebytes近日披露：约1750万个Instagram用户账户遭入侵，导致敏感个人信息外泄，目前这些数据正在暗网流通。该事件对用户隐私与账户安全构成严峻威胁。Part01泄露数

大型僵尸网络利用AI工具暴力破解全球Linux服务器

近日，一种名为 GoBruteforcer 的高阶 Go 语言编写的僵尸网络正全球范围内积极攻击 Linux 服务器，暴力破解暴露在互联网上的 FTP、MySQL、PostgreSQL 和 phpMy

每周PDF资源：工业互联网渗透实战记录；12月企业必修安全漏洞；揭秘黑灰产AI的潘多拉魔盒；渗透测试行业术语扫盲

你的智能挖洞搭档，已上线！| 蛙池AI内测邀请码派送中

初级白帽想 0 基础入门渗透测试，该选什么？中高级白帽想借 AI 快速挖洞提效，该用什么？资深白帽想深化漏洞研究破局，该靠什么？当然是蛙池 AI！渗透、分析、报告、协作，一条龙全自动。你的漏洞，蛙池A

斗象科技完成对远景数智战略投资

近日，斗象科技宣布完成对远景数智（北京）科技有限公司（以下简称“远景数智”）的战略投资。远景数智是一家以数据要素建设及运营为核心的数据生态服务商，依托隐私计算、人工智能等核心技术，打造覆盖“技术-平台

ChatGPT漏洞可致攻击者窃取Gmail、Outlook和GitHub敏感数据

ChatGPT 存在严重漏洞，攻击者可在无需用户交互的情况下，从 Gmail、Outlook 和 GitHub 等关联服务窃取敏感数据。这些被命名为 ShadowLeak 和 ZombieAgent

委内瑞拉互联网现状深度解析；美国最大光纤宽带运营商遭入侵 | FreeBuf周报

各位 Buffer 周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、一周好文，保证大家不错过本周的每一个重点！🏳️‍🌈委内瑞拉互联网现状深度解析🛜美国最大光纤宽带运营商Brig

黑客正大规模攻击AI基础设施，已观测超9.1万次攻击会话

安全研究人员发现，在2025年10月至2026年1月期间，针对AI基础设施的攻击会话超过9.1万次，暴露出针对大语言模型部署的系统性攻击活动。GreyNoise的Ollama蜜罐基础设施在此期间捕获了

阿里云2026云上安全健康体检正式开启

2026年1月8日，阿里云「2026云上安全健康体检」正式上线，所有阿里云用户均可参与。今年，阿里云首次将系统稳定性评估与AI安全专项检测纳入体检项，共计覆盖安全、稳定、AI三大维度在内的110余项关

黑猫黑客伪造Notepad++网站窃密，27万台服务器已沦陷

GravityRAT是一种自2016年起就针对政府机构和军事组织的远程访问木马。该恶意软件最初仅针对Windows系统，现已演变为可攻击Windows、Android和macOS系统的跨平台工具。它通