Marimo缝隙披露仅10幼时后遭黑客利用

首页 > 安全钻研 > 安全传递 > 安全简讯

Marimo缝隙披露仅10幼时后遭黑客利用

颁布功夫 2026-04-13

1. Marimo缝隙披露仅10幼时后遭黑客利用

4月12日，Marimo是一个备受迎接的开源响应式Python notebook平台，其一个严沉缝隙在公开披露仅10幼时后就被黑客积极利用。该缝隙编号为CVE-2026-39987，GitHub对其严沉水平评分为9.3分，允许攻击者在Marimo 0.20.4及更早版本中无需任何身份验证即可远程执行代码。Marimo通常被数据科学家、机械进建从业者、钻研人员和开发人员用于构建数据利用法式或仪表板，在GitHub上占有20,000个star和1,000个fork，用户基础宽泛。该缝隙的底子原因在于WebSocket端点“/terminal/ws”露出了交互式终端，但未进行适当的身份验证查抄，使得任何未经身份验证的客户端都能够直接衔接，获得与Marimo过程一样权限的齐全交互式shell。Marimo于4月8日披露了该缝隙，并于昨日颁布了0.23.0版本进行建复�？⒄咧赋�，该缝隙重要影响将Marimo部署为可编纂笔记本的用户，以及在编纂模式下使用--host 0.0.0.0将Marimo露出于共享网络的用户。据云安全公司Sysdig的钻研人员称，在缝隙详情披露后的前12幼时内，就有125个IP地址起头进行窥伺活动。披露后不到10幼时，钻研人员就观察到了第一次利用尝试。

https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/

2. 黑客宣称节造了威尼斯圣马可广场的防洪泵系统

4月12日，近日，意大利威尼斯圣马可广场的防洪液压泵系统遭到网络攻击，一个自称“基础设施粉碎幼组”或“阴郁引擎”的组织宣称已获得系统治理权限，并扬言能够“瘫痪防御系统并覆没沿海地域”，将网络入侵演变为潜在的物理苦难。该组织在其Telegram频路上颁布中文帖子，宣称已齐全节造意大利基础设施和交通手下属的防洪系统，并公开以600美元的价值销售系统的齐全root权限。固然当局确认�；なヂ砜纱蠼烫玫墓丶低澄词苡跋�，但该事务露出了一个令人忧郁的现实：即便是拥有高度象征意思和战术意思的基础设施，也可能被探测、接见和把持。与传统IT系统分歧，OT系统直接与物理过程交互。一旦遭到粉碎，后果不仅是数据迷失，还会导致服务中断、经济损失，甚至威胁公共安全。这次攻击始于3月下旬，攻击者入侵了系统节造界面，4月初起头颁布节造面板截图、系统布局图和阀门状态图等证据。

https://securityaffairs.com/190679/hacktivism/hackers-claim-control-over-venice-san-marco-anti-flood-pumps.html

3. 近4000台美国工业设备遭逢伊朗网络攻击

4月10日，与伊朗有关联的黑客组织正持续对美国关键基础设施网络提议攻击，指标蕴含数千台由罗克韦尔自动化公司造作的、露出在互联网上的可编程逻辑节造器（PLC）。凭据美国多个联国机构周二颁布的结合布告，自2026年3月以来，伊朗国度支持的黑客组织一向以Rockwell Automation/Allen-Bradley PLC设备为指标，已造成运营中断和经济损失。汇报机构忠告称，这些攻击活动最近有所升级，很可能是对伊朗与美国和以色列之间敌对行动的回应。联国调查局认定，攻击行为已导致设备项目文件被提取，以及人机界面和监控系统显示屏上的数据遭到篡改。网络安全公司Censys次日汇报称，在全球发现的5200多个露出在互联网上的此类工业节造系统中，四分之三来自美国。数据显示，全球有5,219个露出于互联网的主机响应EtherNet/IP和谈并自称为罗克韦尔自动化设备，其中美国占全球露出量的74.6%，共3,891个主机。值妥贴心的是，蜂窝运营商ASN的份额不成比例地高，批注现场部署的设备位于蜂窝调造解调器上，进一步扩大了攻击面。

https://www.bleepingcomputer.com/news/security/nearly-4-000-us-industrial-devices-exposed-to-iranian-cyberattacks/

4. CPUID遭入侵，CPU-Z/HWMonitor下载链接被篡改

4月10日，黑客成功获得了CPUID项主张API接见权限，并篡改了官方网站上的下载链接，将盛行的硬件检测工具CPU-Z和HWMonitor的装置法式代替为恶意可执行文件。这两个实用法式拥罕见百万用户，他们依附这些工具来跟踪推算机内部硬件的物理健全情况和系统全面规格。近期，在Reddit高低载这两款工具的用户汇报称，官方下载门户指向Cloudflare R2存储服务，获取的却是另一款诊断工具HWiNFO的木马版本。CPUID讲话人提供申明称，调查仍在进行中，但初步判断4月9日至10日期间，一个辅助职能（表部API）遭到入侵，持续功夫约6幼时，导致主网站随机显示恶意链接，但官方署名的原始文件未受影响。入侵被发现后已建复�？ò退够暄腥嗽狈治鲋赋�，这次入侵从4月9日15:00 UTC持续到4月10日10:00 UTC左右，攻击者散布了CPU-Z 2.19、HWMonitor Pro 1.57、HWMonitor 1.63和PerfMonitor 2.04的恶意版本。凭据卡巴斯基监测，超过150名用户下载了恶意变种，除幼我用户表，重要位于巴西、俄罗斯和中国的零售、造作、征询、电信和农业等行业的企业也受到影响。

https://www.bleepingcomputer.com/news/security/supply-chain-attack-at-cpuid-pushes-malware-with-cpu-z-hwmonitor/

5. Storm-2755发起工资劫持攻击窃取加拿大员工工资

4月10日，一个名为Storm-2755的、以经济利益为主张的威胁行为者，正通过劫持加拿大员工的账户，发起工资沉定向（又称工资劫持）攻击，窃取员工的工资。攻击者利用恶意Microsoft 365登录页面，通过恶意告白或SEO投毒将这些页面推至搜索引擎了局顶部，诱骗受害者输入凭证。这些假装成Microsoft 365登录表单的恶意网页，可能捕获受害者的身份验证令牌和会话cookie。Storm-2755通过沉放被盗的会话令牌而非沉新进行身份验证，成功绕过了中央人攻击中的多成分身份验证�；��；袢≡惫ふ嘶Ы蛹ㄏ藓�，攻击者起初创建收件箱规定，自动将人力资源部门发送的蕴含“直接存款”或“银杏妆字样的邮件移动到暗藏文件夹，阻止受害者查看这些邮件。随后，他们搜索“工资”、“人力资源”、“直接存款”和“财政”等关键词，向人力资源部门员工发送主题为“关于直接存款的问题”的垂钓邮件，诱骗员工更新银行信息。当社交工程攻击失败后，攻击者直接登录Workday等人力资源软件平台，利用窃取的会话手动更新直接存款详情，将工资转入自己节造的账户。

https://www.bleepingcomputer.com/news/microsoft/microsoft-canadian-employees-targeted-in-payroll-pirate-attacks/

6. 国际法律行动确认超2万名加密钱币诳骗受害者

4月11日，由英国国度犯罪调查局牵头的国际法律行动“大西洋行动”已确认，在加拿大、英国和美国境内有超过20,000名加密钱币诳骗受害者。这项结合行动于上个月发展，参加方蕴含英国国度犯罪调查局、美国特勤局、安粗略省警员局、安粗略省证券委员会以及多家私营企业合作同伴。英国国度犯罪调查局暗示，在为期一周的行动中，多个法律机构在其伦敦总部通过实时谍报共享、技术能力和受害者增援，在全球领域内捣毁了多个诳骗网络，伦敦金融城警员局、金融行为监管局和其他国际法律机构也参加了这次行动。调查人员冻结了超过1200万美元的涉嫌犯罪所得，这些款子是通过“授权垂钓”攻击获得的。在这种攻击中，诳骗分子通常通过投资圈套诱骗受害者授予其接见加密钱币钱包的权限。此表，法律人员还查了然与全球诳骗活动有关的超过4500万美元的被盗加密钱币。官员们暗示，“大西洋行动”中使用的公私合作模式将成为英国当局最近颁发的反诓骗战术的主题身分，该战术将行业数据和法律专业知识联系起来，以实显燠诈预防。

https://www.bleepingcomputer.com/news/security/police-identifies-20-000-victims-in-international-crypto-fraud-crackdown/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研