科技巨头东芝和大型零售商无印良品警告访客，其网站上出现的可疑登录弹窗可能会窃取用户凭证。 这两家日本公司均建议在认证界面中输入了账户登录信息的用户立即更改密码，以保护其服务账户安全。 这些登录弹窗由托管在 polyfill[.]io 的外部服务生成。该服务于 2024 年在其 CDN 分发的脚本中引入了恶意代码。...

黑客正在积极利用 Everest Forms Pro 插件中的一个关键漏洞（CVE-2026-3300），该漏洞可让他们完全控制 WordPress 网站。 该安全问题影响插件 1.9.12 及更早版本，无需身份验证即可被利用，在服务器上执行任意代码。 Everest Forms Pro 是 WordPress 表单构建插件 Everest Forms 的商业附加组件。它用于创建联系表单、注册表单、支付表单以及其他自定义应用表单。...

根据网络安全公司 Mandiant 的一份最新报告，Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和专业服务组织发起社会工程攻击，往往在初次接触后数小时内就完成数据窃取。 这份报告发布之前，FBI 上周发布了一份 FLASH 通告，警告称 Silent Ransom Group 正针对美国律师事务所进行社会工程攻击，甚至是现场数据窃取攻击。Mandiant 现在提供了有关入侵如何实施的更多技术细节。...

思科周四向客户通报，其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检测到的第 7 个被利用的该类漏洞。 该新漏洞编号为 CVE-2026-20245，影响 Cisco Catalyst SD-WAN Manager 的命令行界面（CLI），目前思科尚未发布补丁。 拥有合法身份认证的本地攻击者可通过特制文件利用该漏洞，以 root 权限执行任意命令。...

Meta 表示，在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中，约有 2 万个 Instagram 账户可能遭到入侵。 黑客只需向 Meta 的聊天机器人提出请求，将其自己的电子邮件地址绑定到目标账户上，就能入侵大量 Instagram 账户。这使得黑客可以重置账户密码并夺取控制权。 据报道，许多高知名度账户遭到入侵并在暗网上被出售。受影响的账户包括奥巴马白宫、丝芙兰（Sephora）以及美国太空部队总军士长 John Bentivegna 的账户。...

美国网络安全与基础设施安全局（CISA）已将影响 SolarWinds Serv-U 多协议文件服务器软件的一个高危安全漏洞加入其已知被利用漏洞（KEV）目录，理由是有证据表明该漏洞已被活跃利用。 该漏洞编号为 CVE-2026-28318（CVSS 评分：7.5），是一个拒绝服务（DoS）漏洞，在特定条件下会导致服务崩溃。CISA 将其描述为一个不受控制的资源消耗漏洞，最终引发 DoS 状态。...

Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件，将载荷隐藏在 Windows 数据流中，并通过 Telegram 解析 C2 地址。 Sekoia 的威胁检测与研究团队于 2025 年 12 月底发布了一条 YARA 规则，用于搜寻新的初始访问向量。到 2026 年 1 月，该规则已产生十几次命中。Sekoia 研究人员发现了一条 Gamaredon 的感染链，其模块化程度、隐蔽性和持久性均超过该组织此前公开的任何攻击。...

黑客成功入侵了一家全球大型证券交易所高级管理人员的电子邮件账户，并在此后数月内持续窃取数据。 这起攻击由 Broadcom 旗下的 Symantec 和 Carbon Black 威胁追踪团队进行调查。攻击始于 2025 年 10 月，威胁行为者直至 2026 年 3 月仍保留着对被入侵 Outlook 邮箱的访问权限。安全专家估计，其驻留时间约为 150 天。 此次行动的目的极有可能是间谍活动，但 Symantec 和 Carbon Black 并未透露攻击背后可能的人员信息，也没有说明是哪家证券交易所遭到了攻击。...

一场新的 Magecart 攻击活动正利用 Stripe 的 API 基础设施来托管信用卡窃取负载以及从结账页面窃取的数据。 整个恶意活动依赖于 Google Tag Manager 和 Stripe 的域名（googletagmanager.com 和 api.stripe.com），这些域名被在线商店无条件信任。 该新型恶意软件家族由电商安全公司 Sansec 的研究人员发现。他们发现恶意代码是从一个 Google Tag Manager（GTM）容器加载的，并在加载该容器的每个页面上执行。...

牙科福利管理机构 DentaQuest 发生数据泄露事件，据报道已暴露 260 万账户的敏感信息。 该安全事件于上月曝光，当时臭名昭著的勒索组织 ShinyHunters 将该公司的数据列在其泄露网站上，并声称已窃取超过 234 GB 的数据。据该威胁行为者称，在与公司未能达成协议后，这些数据被公开泄露。 DentaQuest 是 Sun Life 旗下的子公司，也是美国最大的牙科福利管理机构之一。该公司为 Medicaid 计划、Medicare Advantage 计划、雇主、健康计划以及个人客户管理牙科保险计划和医疗服务提供者网络。该公司表示，其为 3500 万客户提供服务，...