嘶吼安全动态

【国内新闻】

中央网信办等三部门开展 2026 年个人信息保护系列专项行动，整治 App/SDK 违规采集

摘要：网信办、工信部、公安部联合开展，聚焦超范围收集、强制授权、未告知等问题，覆盖教育、金融、医疗等重点领域。

原文链接：https://baijiahao.baidu.com/s?id=1861388648052382912&wfr=spider&for=pc

公安部发现 37 款违法违规收集使用个人信息的移动应用

摘要：经公安部计算机信息系统安全产品质量监督检验中心检测，37 款移动应用存在违法违规收集使用个人信息情况。

原文链接：https://baijiahao.baidu.com/s?id=1861323689080913683&wfr=spider&for=pc

国家药监局发布实施意见：打造 " 人工智能 + 药品监管 " 安全体系

摘要：意见明确，到 2035 年基本形成智慧化药品安全治理新格局。核心任务包括利用 AI 提升药品全生命周期监管效能，并建立 AI 模型在辅助审评审批过程中的算法透明度与安全审计机制。

原文链接：https://finance.sina.com.cn/jjxw/2026-04-03/doc-inhteccm7378238.shtml

【国外新闻】

乌克兰网安中心（CERT-UA）遭冒充，新型恶意软件 AGEWHEEZE 大规模传播

摘要：威胁组织 UAC-0255 正伪装成乌克兰官方网安机构发送钓鱼邮件，诱导受害者安装所谓的 " 安全工具 "。实际安装的是名为 AGEWHEEZE 的新型木马。

原文链接：https://thehackernews.com/2026/04/cert-ua-impersonation-campaign-spread.html

间谍软件警报：意大利厂商被曝制作假冒 WhatsApp 监控特定用户

摘要：监测发现，意大利软件厂商 SIO/Asigint 开发了一款恶意版 WhatsApp。该应用内置高精度间谍插件，可远程监听通话并读取端到端加密消息。

原文链接：https://securityaffairs.com/190276/malware/italian-spyware-vendor-creates-fake-whatsapp-app-targeting-200-users.html

Axios 供应链攻击事件系朝鲜黑客组织所为

摘要：黑客针对每周下载量超 1 亿次、被大量嵌入前端框架、后端服务及企业应用中的 HTTP 客户端库 axios 发动了供应链攻击。谷歌威胁情报团队将此次攻击归因于朝鲜威胁组织 UNC1069。

原文链接：https://therecord.media/google-links-axios-supply-chain-attack-north-korea

谷歌 Chrome 浏览器修复 WebGPU 零日漏洞（CVE-2026-5281）

摘要：Google 官方发布稳定版更新。该漏洞存在于 WebGPU 图形渲染引擎中，攻击者可通过恶意网页诱导用户访问，从而在远程执行非法代码。

原文链接：https://ti.dbappsecurity.com.cn/info/14726

CISA 将 TrueConf 客户端零日漏洞（CVE-2026-3502）列入在野利用名单

摘要：美国 CISA 证实 TrueConf 视频会议软件存在 " 未经验证下载代码 " 漏洞，且已被黑客用于实战。

原文链接：https://www.cisa.gov/news-events/alerts/2026/04/02/cisa-adds-one-known-exploited-vulnerability-catalog