Python 資料分析工具 Marimo 重大漏洞遭利用

漏洞揭露與迅速被利用

4 月 8 日，開發 Python 互動式運算環境 Marimo 的團隊正式揭露重大安全漏洞，編號為 CVE-2026-39987。然而，資安公司 Sysdig 指出，在漏洞公佈後不到半天（約 10 小時），便已觀察到攻擊行動。

攻擊規模與手法

攻擊者透過來自 11 個 IP 位址發動了 662 起攻擊。攻擊手段包括建立反向 Shell、擷取憑證以及 DNS 重定向等。駭客利用此漏洞散佈名為 NKAbuse 的惡意軟體。

惡意軟體散佈途徑

駭客假借 VS Code 的名義，於 Hugging Face Spaces 設置專案 vsccode-modetx，並上傳名為 install-linux.sh 的腳本與二進位檔案 kagent。其中，kagent 檔案的名稱刻意模仿 Kubernetes 的相關檔案，以增加駭客的可信度與使用者誤觸機率。

漏洞技術細節

該漏洞允許未經身份驗證的攻擊者，透過單次連接即可獲取完整的交互式 Shell，並在任何暴露的 Marimo 實例上執行任意系統命令。整個過程無需任何憑據，風險極高。