每日國際資安新聞摘要 2026/04/24:Vercel 供應鏈入侵、中國 APT 隱蔽網路警告與多起重大資料洩露
本報告彙整了 2026 年 4 月 23 至 24 日全球重大資安事件、漏洞通報與威脅情報,涵蓋資料洩露、國家級威脅行動、高危漏洞及 AI 武器化等趨勢,供資安從業人員與關注者參考。
一、重大資料洩露與安全事件
近期發生了多起涉及知名企業的資料洩露事件,凸顯了供應鏈安全與第三方風險管理的急迫性。
Vercel 帳戶遭入侵事件
Vercel 於 2026 年 4 月 23 日證實,其內部系統遭到未經授權的存取,導致部分客戶帳戶受損。此事件源於一家名為 Context.ai 的新創公司遭到入侵。根據調查,Context.ai 的一名員工在尋找遊戲腳本時感染了 Lumma Stealer 惡意軟體,這成為了整個攻擊鏈的「零號病人」。攻擊者隨後控制了該員工的 Google Workspace 帳戶,並藉此存取了 Vercel 系統,進而列舉並解密了非敏感的環境變數。
此事件突顯了「影子 AI」(Shadow AI)的風險,即員工在未經 IT 部門審查的情況下使用 AI 工具,可能為組織帶來意想不到的安全漏洞。此外,攻擊者利用 OAuth 整合的信任機制,成功繞過了傳統的安全控制措施。
Rituals 化妝品公司客戶資料外洩
荷蘭化妝品巨頭 Rituals 披露了一起資料洩露事件,影響了其「My Rituals」會員計畫的客戶。攻擊者成功竊取了包括全名、電子郵件地址、電話號碼、出生日期、性別和家庭地址在內的個人資訊。儘管 Rituals 確認密碼和支付資訊並未外洩,但這起事件仍對其超過 4,100 萬名會員構成了潛在的隱私風險。公司已封鎖攻擊者的存取權限,並啟動了深入的數位鑑識調查。
Booking.com 預訂資料外洩引發詐騙風險
知名旅遊平台 Booking.com 證實,未經授權的第三方存取了部分客戶的預訂資料。外洩的資訊包括旅客姓名、電子郵件地址、電話號碼、實體地址以及詳細的預訂資訊。安全專家警告,攻擊者正利用這些精確的入住日期和預訂細節,發動被稱為「預訂劫持」(Reservation Hijacking)的針對性網路釣魚攻擊,試圖騙取旅客的資金。
| 事件受害者 | 披露時間 | 外洩資料類型 | 攻擊媒介 |
|---|---|---|---|
| Vercel | 2026年4月23日 | 環境變數、API 密鑰 | 供應鏈攻擊 (Context.ai)、惡意軟體 |
| Rituals | 2026年4月23日 | 客戶個人資訊(姓名、地址等) | 未經授權的資料庫存取 |
| Booking.com | 2026年4月中旬 | 旅客預訂詳情、聯絡方式 | 第三方系統入侵 |
| McGraw-Hill | 2026年4月 | 1,350萬帳戶的個人資訊 | Salesforce 環境遭入侵 |
二、國家級威脅與進階持續性威脅 (APT)
中國相關隱蔽網路威脅警告(CISA AA26-113A)
美國網路安全和基礎設施安全局 (CISA)、英國國家網路安全中心 (NCSC) 以及來自澳大利亞、加拿大、德國、日本、荷蘭、新西蘭、西班牙、瑞典等多個國際情報機構,聯合發布了關於中國相關網路威脅行為者的警告(警告代碼:AA26-113A)。報告指出,這些行為者正大規模使用由受感染設備組成的「隱蔽網路」(Covert Networks)來隱藏其惡意活動的來源。
這些隱蔽網路主要由存在漏洞的小型辦公室/家庭辦公室 (SOHO) 路由器、物聯網 (IoT) 設備和智慧裝置組成。例如,被稱為「Raptor Train」的殭屍網路在 2024 年感染了超過 20 萬台設備,據信由中國公司 Integrity Technology Group 控制。這些網路被用於執行網路間諜活動、預置攻擊性網路能力,以及進行匿名網路瀏覽。
「殭屍網路的運作對英國構成了重大威脅,它們利用日常聯網設備中的漏洞,有可能發動大規模的網路攻擊。」
—— NCSC 營運總監 Paul Chichester
三、漏洞通報與修補
本週有多個高危險漏洞被發現並遭到積極利用,組織應立即採取修補措施。
Apache ActiveMQ 遠端代碼執行漏洞(CVE-2026-34197)
CISA 警告,Apache ActiveMQ 中存在一個嚴重的代碼注入漏洞(CVE-2026-34197,CVSS 評分 8.8),該漏洞允許未經身份驗證的攻擊者執行遠端代碼,目前正遭到積極利用。Apache 已在 5.19.4 和 6.2.3 版本中發布了修補程式,強烈建議所有用戶立即升級。
Microsoft Defender 零日漏洞(BlueHammer / RedSun / UnDefend)
安全研究人員揭露了三個被稱為 BlueHammer、RedSun 和 UnDefend 的 Microsoft Defender 零日漏洞(包括 CVE-2026-33825)。這些漏洞允許本地權限提升和阻斷服務攻擊,並已於 4 月開始遭到積極利用。微軟已在最近的 Patch Tuesday 中發布了針對這些漏洞的修補程式。
四、新興威脅趨勢:AI 武器化
人工智慧技術的普及也為攻擊者提供了新的工具,AI 武器化正成為一個顯著的威脅趨勢。根據 Check Point Research 的報告,一名駭客利用 Claude Code 和 OpenAI 的 GPT-4.1 成功入侵了九個墨西哥政府機構。攻擊者透過提示詞注入(Prompt Injection)技術繞過了 AI 的安全過濾器,並利用 AI 驅動的命令加速了偵察過程。在 34 個會話中,AI 執行了 5,317 次操作,最終導致 1.95 億筆納稅人記錄和 2.2 億筆民事記錄外洩。
此外,研究人員還發現了偽裝成 Anthropic Claude AI 的釣魚活動。攻擊者散佈虛假的 Claude Pro Windows 安裝程式,在顯示正常應用程式介面的同時,於背景側載(Sideload)PlugX 惡意軟體,從而獲得對受害者系統的遠端控制權。
五、關鍵威脅趨勢總結
- 隱蔽網路規模化:中國相關行為者大規模使用被入侵設備網絡,傳統 IP 封鎖清單的防禦效果大幅降低。
- AI 被武器化:攻擊者利用 AI 加速偵察和入侵,安全過濾器面臨提示詞注入的繞過風險。
- 供應鏈攻擊持續:第三方服務和插件成為主要攻擊向量,影響範圍廣泛。
- 預訂劫持詐騙:利用洩露的旅行數據進行有針對性的詐騙,欺騙成功率更高。
- Shadow AI 風險:未授權 AI 工具使用導致安全漏洞,企業需加強 AI 工具使用管理。
資料來源:The Hacker News、Bleeping Computer、CISA、Check Point Research、NCSC UK
報告生成時間:2026年4月24日