深度分析 | 在官方 KICS Docker 中发现恶意 Checkmarx 构件
一、事件概述2026年4月22日,安全研究机构 Socket 与 Docker 联合披露了一起针对 Checkmarx KICS 的重大供应链攻击。攻击者(高度疑似威胁组织 TeamPCP)通过覆写
阅读全文安全简讯(2026.04.23)
1. Kyber勒索软件双平台攻击,号称后量子加密4月22日,网络安全公司Rapid7在2026年3月的一次安全事件响应中,发现并分析了一种名为Kyber的新型勒索软件。该勒索软件同时具备针对Wind
阅读全文【安全圈】《王者荣耀》惊现逆天bug
关键词BUG今天(23日)上午,多位玩家反映游戏出现闪退bug,东皇太一被紧急屏蔽等情况。有玩家反映,当东皇太一大招攻击血包(恢复点)时,会触发全场玩家强制闪退,且无法重连对局。恶意利用此Bug的玩家
阅读全文【安全圈】理想汽车严正声明:系统遭黑客破解、配合走私均为不实信息
关键词黑客4月23日消息,近期,网络上流传有关“杭州某用户车辆系统遭黑客破解”、“理想汽车配合走私车辆出境”等不实信息,对理想汽车品牌形象造成严重污蔑。对此,理想汽车法务部已于4 月 22 日晚间发布
阅读全文【安全圈】Claude Mythos 发现 271 个火狐浏览器漏洞
关键词漏洞Mozilla 表示,Anthropic 新推出的专注于网络安全的 Claude Mythos 人工智能模型在火狐浏览器中发现了 271 个漏洞。 这些漏洞由 Claude Mythos 预
阅读全文Oracle发布2026年4月的安全公告
全公告编号:CNTA-2026-00012026年4月21日,Oracle发布了2026年4月份的安全更新,修复了其多款产品存在的481个安全漏洞。受影响的产品包括:Oracle Database S
阅读全文每日安全动态推送(26/4/23)
• 依赖冷却:应对开源供应链攻击的兴起策略https://noise.getoto.net/2026/04/22/dependency-cooldown-discussions-warm-up/本文
阅读全文Android安全智能检测工具V3.3
APK逆向分析工具V1.2Python逆向分析工具V3.0APK逆向智能分析工具V1.3AndroidManifest处理工具V1.1APK安全检测分析工具(专业版)V3.2Android系统智能调试
阅读全文Hacking Time 回顾:慢雾携手行业专家,深度拆解 AI & Web3 的攻防新范式
4 月 21 日下午,由慢雾(SlowMist) 主办的 Hacking Time 在香港蔡氏大厦成功举办。活动紧随香港 Web3 嘉年华热潮,以「Security for AI & Crypto,
阅读全文记一次某大学的漏洞挖掘
扫码领资料获网安教程本文由掌控安全学院 - 徐来. 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~( https://bbs.zkaq.cn)宇宙免责声明!!!本文涉及的相关漏洞均已修复
阅读全文4月社区投稿活动 | 漏洞挖掘
2026 | 04 月社区投稿活动本期活动奖金池30000金币(1000金币=100大洋,可在社区商城提现),打空截止,不另外追加奖金池活动时间4 月 1 日- 5 月 1 日投稿要求文章内容必须为原
阅读全文超 1300 台微软 SharePoint 服务器易受欺骗攻击
高危漏洞 紧急修复指南 RCE Patch 超 1300 台暴露在互联网上的微软 SharePoint 服务器,针对一个曾被作为零日漏洞利用且在持续攻击中仍被滥用的欺骗漏洞,尚未进行修复。推测e
阅读全文你一打盹就输了——Windows RPC 端点映射器投毒研究
原文链接作者https://www.safebreach.com/blog/you-snooze-you-lose-winning-rpc-endpoints/Ron Ben Yizhak, Secu
阅读全文GHSA-xq3m-2v4x-88gg 的 PoC:通过代码注入在 protobuf.js 中实现严重远程代码执行 (CVSS 9.4)
威胁简报恶意软件漏洞攻击protobuf.js(protobufjsnpm 包)中存在严重代码注入漏洞,可通过精心构造的 protobuf schema 类型名称实现完全远程代码执行。根本原因该pro
阅读全文Pack2TheRoot (CVE-2026-41651):跨发行版本地权限提升漏洞
威胁简报恶意软件漏洞攻击今天,我们与发行版维护者合作,公开披露了一个高危漏洞(CVSS 3.1:8.8),该漏洞会影响多个 Linux 发行版的默认安装。任何本地非特权用户都可以利用 Pack2The
阅读全文AI 模型部署工具 Xinference 供应链投毒,腾讯云安全已支持防护
事件概述 2026 年 4 月 23 日,腾讯云安全中心监测到 AI 模型部署工具 Xinference(Xorbits Inference)被披露存在供应链投毒风险,其发布至 PyPI 仓库的 2
阅读全文去中心化困境:KelpDAO 危机中的级联风险与紧急处置权
核心要点:KelpDAO 2.9 亿美元桥接漏洞引发连锁反应,冻结了五条链上超过 67 亿美元的 WETH 流动性,波及从未接触过 rsETH 的用户。此事件还揭示了 "permissionless"
阅读全文我在每个漏洞赏金计划中发现的 5 个最常见的漏洞
官网:http://securitytech.cc“那些枯燥乏味的研究成果才能带来收入。而那些富有创意的连锁店才能赢得荣誉殿堂。”按回车键或点击查看完整尺寸的图片🔑 漏洞 1:访问控制失效(IDOR)
阅读全文会“回应”的文件 —— 隐藏在 A2 单元格里的 XXE
官网:http://securitytech.cc大多数人都知道 XXE(XML 外部实体漏洞)。但很少有人会想到去检查一个 Excel 上传点。然而,在每一个 .xlsx 文件下面,本质上都是一个包
阅读全文从设计层面消灭机会型攻击:微软安全架构实践
大多数攻击者并非"入侵"了你的网络——他们用偷来的凭据直接登录了进去。当你的基础设施服务于数千家企业和数百万用户时,安全不是一个功能,而是你构建一切的基石。 微软 Dynamics 365 和 P
阅读全文微软深度解析:如何检测渗透进企业的朝鲜IT工人
疫情后远程和混合办公模式的普及,极大地扩展了全球招聘范围并加速了数字化入职流程,但同时也为威胁行为者打开了新的攻击窗口。微软最新研究揭示了朝鲜关联的 Jasper Sleet 组织如何利用窃取或伪造的
阅读全文AI技能生态的"狂野西部":安全治理何时到来
⚠️ 当我们讨论AI Agent的安全问题时,往往聚焦在技术层面。但真正的根源在于:整个生态缺乏基本的安全治理体系。2025年的AI Agent生态,就像2010年的移动App市场——繁荣、混乱、毫无
阅读全文AI浪潮下的安全行业重构 |从NIST"认输"到480万人才缺口,我们看到了什么?
导语:一个让安全人失眠的四月2026年4月,安全行业接连发生三件大事:4月7日Anthropic联合Apple、Google、Microsoft、Amazon、NVIDIA、Linux基金会等12家
阅读全文突发:Checkmarx再次遭遇供应链投毒!速查
4月22日,微步情报局监测到有国外机构披露,Checkmarx 相关官方分发渠道疑遭供应链攻击:官方 checkmarx/kics Docker Hub 仓库中多个 KICS 镜像标签被恶意覆盖,同时
阅读全文突发:Xinference PyPI 遭投毒!速查
2026 年 4 月 22 日,JFrog 安全研究团队披露PyPI 官方包 xinference 遭供应链投毒,恶意版本 2.6.0、2.6.1、2.6.2 被植入窃密木马,导入即执行恶意脚本,该脚
阅读全文如何给Yakit接上Claude code和skills自动化AI渗透
免责声明本公众号“猎洞时刻”旨在分享网络安全领域的相关知识,仅限于学习和研究之用。本公众号并不鼓励或支持任何非法活动。本公众号中提供的所有内容都是基于作者的经验和知识,并仅代表作者个人的观点和意见。这
阅读全文网安原创文章推荐【2026/4/22】
2026-04-22 微信公众号精选安全技术文章总览洞见网安 2026-04-22 0x1 EDUSRC证书站之源码泄露导致的10rank漏洞安全小生 2026-04-22 23:26:47 本
阅读全文国务院:支持采购大模型、智能体服务
4月21日,《国务院关于推进服务业扩能提质的意见》(以下简称《意见》)正式发布,《意见》提出深入实施“人工智能+”行动,加快智能编程工具研发使用,支持采购大模型、智能体服务。《意见》提出:深入实施“人
阅读全文2026HVV开启招聘啦
招聘要求硬性:毕业人员,有护网项目经验,中高级水平中级:具有一般的监控+处置+研判能力中级+:具有良好的监控+处置+研判+溯源能力熟悉主流安全设备。具备研判,处置,溯源能力,安全分析报告编写能力,熟悉
阅读全文