Marimo 重大漏洞遭利用，駭客透過 Hugging Face 散佈惡意軟體 NKAbuse

漏洞揭露與風險評估

4 月 8 日，Python 資料分析工具 Marimo 開發團隊正式揭露一項重大安全漏洞，編號為 CVE-2026-39987。該漏洞的風險評級（CVSS v4.0）高達 9.3 分，屬於極高危險等級。

攻擊活動與惡意軟體部署

資安公司 Sysdig 於漏洞揭露後僅 10 小時內便偵測到首次利用活動，隨後確認已有多起攻擊出現。根據 Sysdig 的調查，在 4 月 11 日至 14 日期間，共有 11 個 IP 位址發動了 662 起攻擊。

駭客利用該漏洞執行 curl 指令，從聲譽良好的 Hugging Face Spaces 下載名為 install-linux.sh 的指令碼並執行，藉此部署名為 NKAbuse 的惡意軟體。

攻擊造成的危害

一旦攻擊者成功利用此漏洞，駭客能夠執行以下操作：

• 建立反向 Shell：取得對受害系統的遠端控制權。
• 擷取憑證與 DNS 資訊：竊取使用者的認證資料與網域資訊。
• 橫向移動：利用竊得的憑證橫向移動，進一步竊入資料庫系統。

由於 Hugging Face Spaces 平臺聲譽良好，許多開發者會在此部署程式碼，這使得駭客得以利用該平臺作為惡意軟體的分發跳板，增加了攻擊的成功率與隱蔽性。