Kyber勒索软件双平台攻击，号称后量子加密

首页 > 安全钻研 > 安全传递 > 安全简讯

Kyber勒索软件双平台攻击，号称后量子加密

颁布功夫 2026-04-23

1. Kyber勒索软件双平台攻击，号称后量子加密

4月22日，网络安全公司Rapid7在2026年3月的一次安全事务响应中，发现并分析了一种名为Kyber的新型勒索软件。该勒索软件同时具备针对Windows系统和VMware ESXi虚构化平台的两个分歧变种，且由统一个勒索软件关联组织部署在统一网络中，意图通过同步加密所有服务器以最大化粉碎成效。两个变种共享一样的活动ID和基于Tor的勒索基础设施。其中，ESXi变种专门针对VMware环境构建，可能枚举所有虚构机、、、加密数据存储文件，并用勒索信篡改ESXi治理界面，疏导受害者实现赎金支付流程。该变种宣称选取了Kyber1024后量子加密技术，但Rapid7分析发现这一说法并不属实，ESXi变种现实使用ChaCha8进行文件加密，并使用RSA-4096进行密钥封装。相比之下，Windows变种用Rust编写，技术实现更为成熟。它的确切现了Kyber1024和X25519密钥�；；；せ�，与勒索信中的申明一致。具体而言，Kyber1024用于�；；；ざ猿泼茉孔柿�，而AES-CTR则掌管批量数据加密。

https://www.bleepingcomputer.com/news/security/kyber-ransomware-gang-toys-with-post-quantum-encryption-on-windows/

2. Harvester用GoGra后门滥用微软云API执行攻击

4月22日，威胁行为者Harvester被支使用了新版Linux版本的GoGra后门，钻研人员在VirusTotal平台上发现了来自印度和阿富汗的恶意软件样本，批注这两个国度可能是间谍活动的指标。最新发现批注，Harvester正在持续扩大其工具集，使其不再局限于Windows系统，而是利用统一后门法式的新变种习染Linux系统。攻击利用社会工程学伎俩诱骗受害者打开假装成PDF文档的ELF二进制文件。攻击者随后会显示钓饵文档，同时偷偷运行后门法式。与Windows版本类似，Linux版GoGra也滥用微软的云基础设施，使用盛开数据和谈查问，每两秒钟向一个名为“Zomato Pizza”的特定Outlook邮箱文件夹发送一次要求。该后门法式会扫描收件箱，查找主题行以“Input”开头的电子邮件。一旦收到切合前提的邮件，法式会解密Base64编码的邮件正文，并使用“/bin/bash”将其作为shell号令执行。执行了局会以主题为“Output”的电子邮件大局发送给操作员。数据窃取实现后，植入法式会断根原始工作邮件以覆盖痕迹。

https://thehackernews.com/2026/04/harvester-deploys-linux-gogra-backdoor.html

3. Rituals遭黑客攻击，超4100万会员数据泄露

4月22日，总部位于荷兰的化妆品巨头Rituals近日证实，黑客从其会员数据库中窃取了大量数据，导致客户小我信息泄露。Rituals暗示，他们在4月份发现了一路“未经授权下载”会员数据的事务，被窃信息蕴含客户的全名、、、诞生日期、、、性别、、、邮政地址、、、电子邮件地址、、、电话号码，以及他们偏好的Rituals商店和账户类型。Rituals讲话人Eline van Malssen确认，黑客窃取的是欧洲和英国客户的会员数据，同时部门美国客户也受到影响。截至目前，Rituals尚未描述这次网络攻击的具体性质，也未注明数据泄露产生的具体方式，同时回绝就公司是否收到黑客的任何信息、、、更精确的事务功夫线或受影响会员简直切人数颁发评论，理由为“安全原因”。据其官网显示，Rituals的会员数据库占有超过4100万客户，这家零售巨头在2025年的收入达到24亿欧元（约28亿美元）。

https://techcrunch.com/2026/04/22/cosmetics-giant-rituals-confirms-data-breach-of-customer-membership-records/

4. 西班牙捣毁最大西语漫画盗版平台Tu Manga Online

4月22日，西班牙警方近日捣毁了他们所称的规模最大的西班牙语漫画盗版平台。该平台自2014年起头运营，每月为全球数百万用户提供服务，通过免费提供受版权�；；；さ奈恼�，并利用产生的网络流量获取告白收入。警方布告中未明确提及平台名称，但据TorrentFreak报道，该平台正是驰名的西班牙语漫画网站Tu Manga Online（TMO）。在蕴含韩国知识产权持有者在内的司法压力下，该平台已被迫下线。警方于2025年6月发展调查，发现该平台通过铺天盖地的弹窗告白牟利超过470万美元。其中大部门告白为色情内容，鉴于该网站很多接见者为未成年人，这一情况令人忧郁。用户在网站上进行的每个操作蕴含选择内容、、、阅读描述或浏览目录城市触发弹窗，从而最大化告白曝光率。警方布告称，自2014年以来，该组织一嫡系统地、、、免费且未经授权地提供大量受知识产权�；；；さ奈恼碌慕蛹ㄏ�。该门户网站已成为西班牙语漫画盗版的重要参考点，每月接见量达数百万，拥有显著的国际影响力，对版权所有者、、、出版商、、、翻译人员及整个文化产业造成了严重侵害。

https://www.bleepingcomputer.com/news/security/spain-dismantles-major-47m-manga-piracy-platform-arrests-four/

5. Mirai僵尸网络对准已停产D-Link路由器

4月22日，Akamai最新汇报指出，Mirai僵尸网络正在攻击已停产的D-Link路由器，利用的是一年前披露的号令注入缝隙CVE-2025-29635。该缝隙存在于D-Link DIR-823X系列路由器中，影响固件版本240126和24082。缝隙成因是攻击者可节制的函数值在未经验证的情况下被复制，并且能够通过精心机关的POST要求加以利用。Akamai诠释称，路由器从要求正文中提取最终进入号令缓冲区的值，而不查抄它来自哪个表单字段。观察到的攻击尝试针对的是一样的代码，并触发了一样的系统挪用，这与去年在GitHub上颁布后已被删除的概念验证缝隙利用法式齐全一致。作为执行蹊径的一部门，攻击者加载了一个shell脚正本下载并运行有效载荷，该载荷拥有很多Mirai特点，蕴含XOR编码、、、硬编码的节制台执行字符串和硬编码的下载器IP。受影响的D-Link DIR-823X系列路由器已于去年停产，且不再从供给商处获得软件更新。D-Link早在9月份就已发出忠告，强烈建议用户停用该产品，并指出持续使用可能会对衔接到该设备的其他设备造成风险。

https://www.securityweek.com/mirai-botnet-targets-flaw-in-discontinued-d-link-routers/

6. npm蠕虫攻击：16个Namastex包遭投毒窃取凭证

4月22日，一种针对npm生态系统的新型供给链攻击正在窃取开发者凭证，并通过从被盗账户颁布的恶意软件包进行类似蠕虫的传布。该威胁由Socket和StepSecurity的钻研人员在Namastex Labs的多个软件包中发现。截至发稿时，已确认被攻破的Namastex软件包共有16个。这些软件包重要用于AI代理工具和数据库操作，因而攻击指标为高价值终端，而非大规模习染。注入的恶意代码会网络与各类机密有关的敏感数据，蕴含令牌、、、API密钥、、、SSH密钥、、、云服务凭证、、、CI/CD系统凭证、、、注册表及LLM平台凭证，以及Kubernetes/Docker配置。此外，它还会尝试提取Chrome和Firefox浏览器中存储的敏感数据，涵盖MetaMask、、、Exodus、、、Atomic Wallet和Phantom等加密钱币钱包。StepSecurity指出，该恶意软件性质上是一种“供给链蠕虫”。它可能寻找用于npm颁布的令牌，并将自身注入到该令牌有权颁布的每一个软件包中，从而实现进一步传布。

https://www.bleepingcomputer.com/news/security/new-npm-supply-chain-attack-self-spreads-to-steal-auth-tokens/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研