1、纽约时报 GitHub 存储库凭据泄露，黑客窃走 270GB 内部机密 IT 文件

据悉，安全公司检测到一名黑客在地下论坛中公开了一批据称是来自纽约时报的内部 IT 文件，其中包含 6200 多个文件夹，容纳约 360 万个 Tar 压缩文件，主要涉及 IT 文档、程序源码等内容。黑客描述，他一共获取了 270GB 内部数据，主要涉及纽约时报公司内部约 5000 个 GitHub 存储库。纽约时报目前已经发布报告证实了这起安全事件，报告中提到相关事件与今年 1 月公司 GitHub 存储库凭据泄露有关，纽约时报声称公司已经在第一时间采取缓解行动，“目前没有证据显示公司内部系统遭到黑客入侵”、“公司运营也未受到任何影响”。

参考链接：
https://www.ithome.com/0/774/299.htm

2、WarmCookie 为网络攻击者提供了用于初始访问的新后门

WarmCookie是专门构建的 Windows 后门，该后门使攻击者通过使用招聘和潜在工作作为诱饵的网络钓鱼电子邮件中广泛传播后进入目标系统，在初始访问后，他们将攻击转向勒索软件交付和系统入侵，研究人员警告说，它准备演变成更大的威胁。

参考链接：
https://www.darkreading.com/cyberattacks-data-breaches/warmcookie-cyberattackers-backdoor-initial-access

3、Linux nftables 漏洞正被积极利用

安全公司 CrowdStrike 报告，今年早些时候发现的 Linux nftables 漏洞正被活跃利用。该漏洞是 2024 年 1 月 31 日披露危险评分 7.8/10 的本地提权漏洞 CVE-2024-1086，受影响的大部分 Linux 发行版已经修复。发现该漏洞的安全研究人员于 3 月 26 日在 GitHub 上公布了 POC，从 4 月中旬开始对该漏洞的利用在加速。利用 POC 需要非特权用户空间功能能访问 nf_tables，而 Debian 和 Ubuntu 等发行版默认启用了访问。

参考链接：
https://www.crowdstrike.com/blog/active-exploitation-linux-kernel-privilege-escalation-vulnerability/

4、TellYouThePass 勒索软件利用最近的 PHP CGI RCE 漏洞破坏服务器

据网络安全公司 Imperva 的研究人员发现的最新攻击中，TellYouThePass 勒索软件团伙一直在利用严重的 CVE-2024-4577 漏洞来执行任意 PHP 代码，通过使用 Windows mshta.exe二进制文件运行恶意 HTML 应用程序 （HTA） 文件，将勒索软件的 .NET 变体加载到主机的内存中。

参考链接：
https://www.bleepingcomputer.com/news/security/tellyouthepass-ransomware-exploits-recent-php-rce-flaw-to-breach-servers/