荷兰财政部遭网络攻击部分员工数据泄露
发布时间 2026-03-261. 荷兰财政部遭网络攻击部分员工数据泄露
3月24日,荷兰财政部近日披露,在3月19日检测到网络攻击后,部分员工的内部系统被攻陷,数据泄露事件正在调查中。该部在第三方警报后发现了未经授权访问其政策部门多个主要过程系统的行为。荷兰财政部在声明中表示:"财政部ICT安全部门于3月19日星期四检测到对政策部门多个主要过程系统的未经授权访问。警报发出后立即启动调查,自今日起已阻止对这些系统的访问。这影响了部分员工的工作。"作为响应,财政部立即启动调查,并阻止了对受影响系统的访问。公司指出,税务和海关管理局、海关和福利局向公民和企业提供的服务未受影响。荷兰财政部未披露攻击的技术细节,目前尚无网络犯罪组织声称对此负责。调查仍在继续,事件的完整影响尚未确定。
https://securityaffairs.com/189929/data-breach/data-breach-at-dutch-ministry-of-finance-impacts-staff-following-cyberattack.html
2. TeamPCP攻陷LiteLLM Python包窃取50万设备数据
3月24日,TeamPCP黑客组织近日攻陷了流行的Python包LiteLLM,在PyPI上发布恶意版本1.82.7和1.82.8,部署信息窃取恶意软件。LiteLLM是开源Python库,作为通往多个大型语言模型提供商的网关,每日下载量超过340万次,过去一个月下载量超过9500万次。Endor Labs研究人员表示,威胁行为者攻陷了该项目,发布的恶意版本包含隐藏有效载荷,在导入包时执行。恶意代码注入到litellm/proxy/proxy_server.py文件中,作为base64编码的有效载荷,每次导入模块时解码并执行。版本1.82.8引入了更激进的功能,将名为litellm_init.pth的文件安装到Python环境。由于Python在解释器启动时自动处理所有.pth文件,恶意代码会在运行Python时执行,即使未specifically使用LiteLLM。执行后,有效载荷最终部署黑客的TeamPCP Cloud Stealer变体和持久化脚本。一旦触发,有效载荷运行三阶段攻击:收集凭据,尝试跨Kubernetes集群横向移动,在每个节点部署特权pod,并安装持久化systemd后门轮询额外二进制文件。
https://www.bleepingcomputer.com/news/security/popular-litellm-pypi-package-compromised-in-teampcp-supply-chain-attack/
3. CISA将Langflow代码注入漏洞加入KEV目录
3月25日,美国网络安全和基础设施安全局(CISA)近日将一个新漏洞添加到其已知被利用漏洞(KEV)目录中,基于活跃利用的证据。该漏洞为CVE-2026-33017Langflow代码注入漏洞。Langflow是流行的可视化构建大型语言模型应用的开源平台。代码注入漏洞允许攻击者在目标系统上执行任意代码,可能导致完全系统攻陷、数据窃取和横向移动。此类漏洞是恶意网络行为者的频繁攻击载体,对联邦企业构成重大风险。CISA的绑定操作指令(BOD)22-01建立了KEV目录,作为已知通用漏洞和暴露(CVE)的实时列表,这些漏洞对联邦企业构成重大风险。BOD22-01要求联邦民事行政分支(FCEB)机构在截止日期前修复已识别的漏洞,以保护FCEB网络免受活跃威胁。尽管BOD22-01仅适用于FCEB机构,但CISA强烈建议所有组织通过优先及时修复KEV目录漏洞作为漏洞管理实践的一部分,减少网络攻击暴露面。
https://www.cisa.gov/news-events/alerts/2026/03/25/cisa-adds-one-known-exploited-vulnerability-catalog
4. Torg Grabber恶意软件针对850款浏览器扩展窃取数据
3月25日,网络安全公司GenDigital近日发现名为TorgGrabber的新型信息窃取恶意软件,该软件从850个浏览器扩展窃取敏感数据,其中超过700个为加密货币钱包扩展。初始访问通过ClickFix技术获得,劫持剪贴板并诱骗用户执行恶意PowerShell命令。GenDigital研究人员表示,TorgGrabber正在积极开发中,三个月内编译了334个唯一样本,每周注册新的命令控制(C2)服务器。除加密货币钱包外,TorgGrabber还从103个密码管理器和双因素身份验证工具以及19个笔记应用窃取数据。TorgGrabber的初始版本使用基于Telegram的协议,然后使用自定义加密TCP协议进行数据外泄。2025年12月18日,这两种机制被放弃,转而使用通过Cloudflare基础设施路由的HTTPS连接。该方法支持分块数据上传和有效载荷传递。恶意软件具有多种反分析机制、多层混淆,并使用直接系统调用和反射加载进行规避,完全在内存中运行最终有效载荷。恶意软件还可分析主机、创建硬件指纹、记录已安装软件、截取用户桌面截图,并从桌面和文档文件夹窃取文件。
https://www.bleepingcomputer.com/news/security/new-torg-grabber-infostealer-malware-targets-728-crypto-wallets/
5. Citrix修复NetScaler类似CitrixBleed的高危漏洞
3月25日,Citrix近日修复了影响NetScalerADC网络设备和NetScalerGateway安全远程访问解决方案的两个漏洞,其中一个与近年来在零日攻击中被利用的CitrixBleed和CitrixBleed2缺陷非常相似。该关键安全漏洞(追踪为CVE-2026-3055)源于输入验证不足,可能导致配置为SAML身份提供商(IDP)的CitrixADC或CitrixGateway设备发生内存过度读取,使无特权的远程攻击者能够窃取会话令牌等敏感信息。公司还分享了识别和修复易受CVE-2026-3055攻击的NetScaler实例的详细指南。公司还修复了影响配置为网关(SSLVPN、ICAProxy、CVPN、RDPproxy)或AAA虚拟服务器的设备的CVE-2026-4368漏洞,该漏洞可使目标系统上具有低特权的威胁行为者利用竞争条件进行低复杂度攻击,可能导致用户会话混淆。网络安全组织Shadowserver目前追踪到超过3万个NetScalerADC实例和2,300多个Gateway实例在线暴露。目前尚不清楚其中有多少使用易受攻击的配置或已针对攻击进行修复。多家网络安全公司指出,CVE-2026-3055与2023年被广泛利用的CitrixBleed漏洞和2025年披露的CitrixBleed2变体存在明显相似性。
https://www.bleepingcomputer.com/news/security/citrix-urges-admins-to-patch-netscaler-flaws-as-soon-as-possible/
6. TP-Link修复Archer NX系列路由器多个高危漏洞
3月25日,TP-Link近日修复了其ArcherNX系列路由器中的多个漏洞,包括一个严重级别的缺陷,可能允许攻击者绕过身份验证并上传新固件。追踪为CVE-2025-15517的安全漏洞影响ArcherNX200、NX210、NX500和NX600无线路由器,源于缺失身份验证弱点,攻击者可在无特权情况下利用。TP-Link还移除了配置机制中的硬编码加密密钥(CVE-2025-15605),该密钥允许经过身份验证的攻击者解密配置文件、修改并重新加密。此外,公司修复了两个命令注入漏洞(CVE-2025-15518和CVE-2025-15519),这些漏洞使具有管理员特权的威胁行为者能够执行任意命令。公司强烈建议客户下载并安装最新固件版本以阻止利用这些漏洞的潜在攻击。
https://www.bleepingcomputer.com/news/security/tp-link-warns-users-to-patch-critical-router-auth-bypass-flaw/
京公网安备11010802024551号