1、Stripe旧版API被滥用于信用卡盗刷

https://thehackernews.com/2025/04/legacy-stripe-api-exploited-to-validate.html

2025年4月3日，安全机构发现针对电商平台的网络信用卡盗刷活动，Stripe是一家爱尔兰-美国跨国金融服务和软件即服务（SaaS）公司，攻击者利用Stripe已弃用的旧版API实时验证并回传验证有效性数据。攻击者通过伪造Stripe支付页面，隐藏原订单按钮并植入Base64加密窃密代码，当受害者支付失败后提示刷新页面；部分脚本还伪装Square支付界面并添加比特币等加密货币选项。

2、开源恶意软件致数据窃取成主流

https://www.helpnetsecurity.com/2025/04/03/open-source-malware-index-q1-2025/

2025年4月2日，根据Sonatype公司的数据显示，第一季度全球开源软件中检测到的恶意软件包为17,954个，同比2024年同期增长超一倍。其中，数据窃取类占比达56%，加密挖矿类占比7%。报告指出，攻击者的攻击目标主要集中于金融、政府及能源领域，并且80%的恶意程序已转向更复杂的载荷投递与代码注入技术。

3、英国皇家邮政疑因供应商被黑导致数据泄露

https://hackread.com/hacker-leaks-royal-mail-group-data-supplier-spectos/

2025年4月2日，黑客组织GHNA在暗网公开英国皇家邮政集团144GB敏感数据，包括客户个人信息、内部会议录像、邮递路线数据库及Mailchimp营销列表。该组织者称攻击入口为皇家邮政供应商Spectos公司，该供应商曾涉多起数据泄露事件。皇家邮政确认正与Spectos联合调查，但未披露实际影响范围。本次事件系皇家邮政继2023年遭LockBit勒索攻击后又一重大安全危机，本次泄漏事件或引发监管机构对其第三方供应链安全审查。

4、朝鲜黑客组织把目光投向了欧洲企业

https://www.helpnetsecurity.com/2025/04/02/north-korean-it-workers-target-europe/

2025年4月2日，安全研究员（GTIG）监测到朝鲜攻击组织把目光投向了欧洲企业，通过伪造身份在招聘平台求职。攻击组织重点攻击目标为国防工业、政府部门及区块链技术企业。攻击者利用企业“自带设备”策略的安全盲区，通过个人设备接入公司虚拟机系统来规避监控，并尝试在暴露后勒索赎金。研究显示，此类活动的激增与美国执法部门打击朝鲜IT人员有关，迫使其转向欧洲、亚洲及拉美市场。

5、钓鱼攻击转向邮件附件二维码诱导

https://www.malwarebytes.com/blog/news/2025/04/qr-codes-sent-in-attachments-are-the-new-favorite-for-phishers

2025年4月3日，安全机构监测到新型钓鱼攻击利用邮件附件二维码诱导用户扫描，规避传统邮件过滤检测。攻击者伪造企业HR手册、薪资单等文档，嵌入含短链的二维码，手机扫描后跳转至仿冒微软登录页面窃取账户凭证。技术分析显示，恶意二维码通过动态重定向区分个人与企业邮箱，精准实施凭证窃取。因移动设备安全防护较弱，且短链隐藏真实URL，此类攻击成功率显著上升。

6、GitHub平台曝3900万密钥泄露

https://securityaffairs.com/176170/security/39m-secrets-exposed-github-rolls-out-new-security-tools.html

2025年4月4日，GitHub检测到全球开发者在其平台泄露3900万个敏感密钥。攻击者可利用泄露信息实施横向渗透，即使“低风险”密钥亦可能成为攻击跳板。微软旗下代码托管平台推出独立密钥保护（Secret Protection）与代码安全模块，免费开放公共仓库密钥扫描，并支持团队组织运行全库风险评估。

7、React Router路由库存在一个高危漏洞

https://cybersecuritynews.com/react-router-vulnerability-exposes-web-apps/

2025年4月4日，安全团队zhero_web_security披露React Router路由库存在影响使用Express适配器的React Router 7及Remix 2框架的高危漏洞（CVE-2025-31137）。该漏洞源于对HTTP请求头Host和X-Forwarded-Host的端口参数处理不当所致，攻击者可在端口字段注入恶意路径名，从而使路由逻辑被篡改。利用此漏洞可实现缓存中毒及绕过Web应用防火墙（WAF）规则，进一步实施XSS或权限提升攻击。

8、Android间谍软件卸载时强制要求输入密码

https://cybersecuritynews.com/android-spyware-asks-password-to-uninstall/

2025年4月4日，研究员发现一款Android间谍软件通过滥用系统“覆盖”功能强制用户输入密码以阻止卸载。该恶意软件通常由具备设备物理访问权限的攻击者植入，获取设备管理员权限后隐藏图标，并在用户尝试通过系统设置卸载时触发密码弹窗（密码由安装者预设）。该软件可窃取短信、位置、照片等敏感数据，且利用合法功能增强隐蔽性。

9、Apache Parquet曝远程代码执行漏洞

https://thehackernews.com/2025/04/critical-flaw-in-apache-parquet-allows.html

2025年4月4日，研究员近期监测到Apache Parquet开源数据格式库存在严重安全漏洞（CVE-2025-30065），其Java版本因Schema解析逻辑缺陷允许远程攻击者通过恶意文件执行任意代码。该漏洞影响范围覆盖1.15.0及之前版本，已被官方修复。Aqua公司披露的攻击案例显示，攻击者正利用自动化工具扫描未修复的Apache服务（如Tomcat），部署加密劫持及持久化后门。

10、WinRAR漏洞可绕过系统Web标志安全警告

https://www.bleepingcomputer.com/news/security/winrar-flaw-bypasses-windows-mark-of-the-web-security-alerts/

2024年4月5日，研究人员发现WinRAR文件存档器解决方案中的漏洞可被利用来绕过Web 标记（MotW）安全警告，并在Windows计算机上执行任意代码。MotW是Windows的一项安全功能，用于将Internet下载的潜在不安全文件标记为潜在不安全文件。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。