安天长期基于流量侧数据跟踪分析网络攻击活动，识别和捕获恶意网络行为，研发相应的检测机制与方法，积累沉淀形成了安天自主创新的网络行为检测引擎。安天定期发布最近的网络行为检测能力升级通告，帮助客户洞察流量侧的网络安全威胁与近期恶意行为趋势，协助客户及时调整安全应对策略，赋能客户提升网络安全整体水平。

1. 安天网络行为检测能力概述

安天网络行为检测引擎收录了近期流行的网络攻击行为特征。本期新增检测规则118条，本期升级改进检测规则48条，网络攻击行为特征涉及漏洞利用、文件上传等高风险，涉及代码执行、代码注入等中风险。

2. 更新列表

本期安天网络行为检测引擎规则库部分更新列表如下：

安天网络行为检测引擎最新规则库版本为Antiy_AVLX_2026022707，建议及时更新安天探海威胁检测系统-网络行为检测引擎规则库（请确认探海系统版本为：6.6.1.4 及以上，旧版本建议先升级至最新版本），安天售后服务热线：400-840-9234。

3. 网络流量威胁趋势

近日，研究人员披露名为“Sandworm_Mode”的供应链攻击通过19个NPM软件包实施传播，注册仿冒域名冒充流行的AI编码开发工具，该活动滥用被盗的NPM与GitHub账号凭证，并使用武器化的GitHub Action收集敏感数据，将恶意的依赖和工作流注入仓库，同时通过恶意MCP服务器与提示窃取SSH密钥、AWS凭证和NPM令牌等信息。

此外，研究人员披露，Arkanix Stealer窃密软件于2025年10月在暗网论坛推广，提供Python基础版和C++高级版两种层级，并配备控制面板，以及为项目社区成员接收更新、反馈提议功能和帮助的Discord服务器。分析显示其可能借助大型语言模型辅助开发，并提供了许多网络犯罪分子习惯的标准数据窃取功能，以及模块化架构和反分析功能。研究人员认为，Arkanix只是一个短命的项目，目的是快速获得经济利益，这使得检测和追踪变得更加困难。

本期活跃的安全漏洞信息

1Linux kernel空指针引用漏洞（CVE-2025-68752）

2NocoDB服务器端请求伪造漏洞（CVE-2026-24767 ）

3Ghost 跨站脚本漏洞（CVE-2026-24778）

4Google Chrome信息泄露漏洞（CVE-2026-1504）

5Google SentencePiece缓冲区溢出漏洞（CVE-2026-1260）

值得关注的安全事件

1安天联合发布《“头号玩家”——美国技术霸权下的全球虚拟货币资产收割行动深层解析》

中国国家计算机病毒应急处理中心、计算机病毒防治技术国家工程实验室、360、安天联合发布报告《“头号玩家”——美国技术霸权下的全球虚拟货币资产收割行动深层解析》。美国利用技术优势与规则制定权，并在盟友国家的配合下，美国国家级黑客组织通过底层加密漏洞实现精准破解，将全球虚拟货币资产交易纳入自身监管与基于长臂管辖的跨境执法体系，通过民事没收、刑事追责、罚款追缴等方式，大规模侵占境外虚拟货币资产。

2AI辅助黑客组织攻破全球600台FortiGate防火墙

安全研究人员披露，一名讲俄语的威胁行为者在2026年1月11日至2月18日期间，利用生成式人工智能工具参与攻击活动，在五周内攻破55个国家超过600台FortiGate防火墙。报告指出攻击未利用漏洞，而是针对暴露的管理接口及缺乏多因素认证的弱凭证，通过暴力破解获取访问权限。入侵后，攻击者部署使用Go和Python编写的定制侦察工具，扫描路由表、端口及域控制器，并使用Nuclei识别HTTP服务。

安天探海网络检测实验室简介

安天探海网络检测实验室是安天科技集团旗下的网络安全研究团队，致力于发现网络流量中隐藏的各种网络安全威胁，从多维度分析网络安全威胁的原始流量数据形态，研究各种新型攻击的流量基因，提供包含漏洞利用、异常行为、应用识别、恶意代码活动等检测能力，为网络安全产品赋能，研判网络安全形势并给出专业解读。