荷兰金融犯罪调查局（FIOD）逮捕了两名男子，并扣押了与一家网络托管公司相关的800台服务器，该公司为网络攻击、干涉行动和虚假信息宣传活动提供支持。 FIOD逮捕了一名57岁嫌疑人（公司董事）和一名39岁嫌疑人——他是另一家提供互联网连接服务公司的负责人。 据当局称，嫌疑人间接向受到欧盟（EU）制裁的俄罗斯和白俄罗斯实体提供经济资源。...

GitHub 为 npm 推出了新的安全控制措施，以提升软件供应链的安全性，使维护者能够在软件包公开发布可供安装之前，明确批准某个版本。该功能称为 staged publishing（分阶段发布），现已正式在 npm 上可用。它要求人工维护者通过 2FA（双因素认证）挑战来批准一个软件包， 消息来源：thehackernews.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

Drupal 警告用户，针对本周修复的高危漏洞 CVE-2026-9082，已经出现了利用尝试。该漏洞影响一个旨在确保数据库查询经过清理以防止 SQL 注入 的 API。Drupal 解释道：“该 API 中的漏洞允许攻击者发送特制请求， 消息来源：securityweek.com；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc”并附上原文...

威胁行为者正在利用共享内容分发网络（CDN）基础设施中的漏洞，以隐藏与恶意域名的连接。 该漏洞被称为 Underminr，是域名前置（domain fronting）攻击的一种变体。域名前置是一种现已得到缓解的攻击类型，攻击者曾通过在 HTTPS 请求的 SNI 和 TLS 证书验证字段中放置允许的域名，同时在 TLS 隧道的加密 HTTP Host 头中嵌入不同的目标域名来实施攻击。 由于 CDN 内部根据 Host 头路由请求，流量最终会到达隐藏的目标，而外部流量看起来似乎正发往信誉良好的前置域名。...

针对 Laravel Lang 本地化软件包的供应链攻击使开发人员暴露于复杂的凭证窃取恶意软件活动中。攻击者滥用了 GitHub 版本标签功能，通过 Composer 软件包分发恶意代码。安全公司 StepSecurity、Aikido Security 和 Socket 于周五发出警告， 研究人员发现，恶意发行版引入了一个名为 src/helpers.php 的恶意文件，该文件会被 Composer 自动加载。注入的代码充当了下载器（dropper），从攻击者的命令与控制（C2）服务器 flipboxstudio[.]info 下载了第二个负载。...

黑客正在利用 WordPress 插件 Burst Statistics 中的一个严重认证绕过漏洞，获取网站的管理员级别访问权限。 Burst Statistics 是一款注重隐私的分析插件，在 20 万个 WordPress 网站上启用，被宣传为谷歌分析的轻量级替代方案。 该漏洞编号为 CVE - 2026 - 8181，于 4 月 23 日插件 3.4.0 版本发布时引入。在后续的 3.4.1 版本中，该漏洞代码依然存在。...

OpenAI 表示，在近期影响数百个 npm 和 PyPI 软件包的 TanStack 供应链攻击中，两名员工的设备遭到入侵。作为预防措施，该公司已轮换其应用程序的代码签名证书。 在今日发布的安全公告中，OpenAI 称此次事件未影响客户数据、生产系统、知识产权或已部署的软件。 该公司表示，此次漏洞与 TeamPCP 勒索团伙近期发起的 “Mini Shai - Hulud” 供应链攻击活动有关，该活动通过在受信任的热门软件包中植入恶意更新，将开发者作为攻击目标。...

与白俄罗斯有关联的威胁组织 “幽灵写手”（Ghostwriter）被指发起了一系列针对乌克兰政府组织的新攻击。 “幽灵写手” 至少自 2016 年起就十分活跃，与针对邻国，尤其是乌克兰的网络间谍活动和影响力行动有关。它还有多个别称，包括 “冷峻邻居”（FrostyNeighbor）、“普什查”（PUSHCHA）、“风暴 - 0...

思科发布了更新，以修复 Catalyst SD - WAN 控制器中一个最高严重级别的身份验证绕过漏洞，该公司表示此漏洞已在有限的攻击中被利用。 该漏洞编号为 CVE - 2026 - 20182，CVSS 评分为 10.0。 思科称：“思科 Catalyst SD - WAN 控制器（原 SD - WAN vSmart）和思科 Catalyst SD - WAN 管理器（原 SD - WAN vManage）中的对等身份验证存在漏洞，未经身份验证的远程攻击者可利用该漏洞绕过身份验证，...

近期 Dirty Frag Linux 本地提权（LPE）漏洞的一个新变种细节曝光，该变种可让本地攻击者获取 root 权限，这也是两周内 Linux 内核中发现的第三个此类漏洞。 这个安全漏洞代号为 Fragnesia，编号为 CVE - 2026 - 46300（CVSS 评分：7.8），源于 Linux 内核的 XFRM ESP - in - TCP 子系统，由 V12 安全团队的研究员威廉・鲍林（William Bowling）发现。...