国际网攻席卷北美欧洲160所大学 剑桥牛津多大UCLA麻省理工受影响 初步指向俄罗斯APT41 学生信息疑遭泄露

一场席卷北美与欧洲教育系统的网络攻击周四清晨被多国安全机构同时确认。剑桥、牛津、多伦多大学、密歇根大学、UCLA、麻省理工、东京大学等约160所高校与中学的学习管理系统在过去48小时内出现异常。美国网络安全与基础设施安全局（CISA）和欧洲网络安全局（ENISA）周四联合发布通报，初步判定攻击者为俄罗斯方向的APT41组织，正在进一步取证。

攻击路径：Instructure Canvas被注入恶意代码

这次事件之所以波及面这么广，是因为受感染的不是某一所大学的内部系统，而是全球数千所学校都在用的学习平台Instructure Canvas。攻击者在Canvas的某个第三方插件分发节点上注入了一段恶意JavaScript，学生登录时浏览器后台向攻击者控制的域名回传Cookie与凭据。CISA初步判断已有不少于上百万学生的登录信息出现在异常请求里，但具体被实际利用的账号数还在统计。

剑桥大学校长Stephen Toope周四下午在大学校园紧急召开记者会，确认剑桥本部及部分学院的Canvas入口已被临时下线。Toope说："我们没有证据显示成绩单与论文原文遭篡改，但任何登录过最近一周课程页面的学生都应被视为'凭据可能已暴露'。"

多伦多大学MIE学院系统暂时关闭 全员被要求改密码

加拿大方向最严重的是多伦多大学。多大机械与工业工程学院（MIE）的内部门户周四上午被发现存在未授权访问痕迹，学院系统已被暂时关闭进行排查。多大IT安全部门同步向全体学生发出邮件，要求立即修改UTORid密码并启用双因素认证，并对最近七天内的Canvas登录会话进行全部失效处理。多大目前仍在评估个人邮件、研究协作平台是否受影响。

美国方向，密歇根大学、UCLA、麻省理工三所均确认Canvas接入受影响，并在周四下午前后陆续把相关入口下线。MIT的CSAIL实验室还另发声明，提醒所有研究生检查GitHub Token与AWS凭据是否在最近Canvas文档里被引用过——这是过去几次类似事件中常见的二次泄露路径。

俄罗斯否认 但安全机构指向APT41

俄罗斯外交部周四晚发表声明，称对外界把这次攻击归因于"俄罗斯黑客组织"的说法"毫无依据、政治化"。但CISA和ENISA联合通报里写得很直接，攻击使用的恶意载荷与APT41过去三年在欧美教育、医疗领域的若干次入侵高度吻合，包括相同的Cobalt Strike变种、相同的命令控制服务器域名注册模式。

本案被多家安全公司列为2026年迄今为止规模最大的教育领域网攻。对在多伦多、温哥华、波士顿、洛杉矶、纽约等地就读的华人学生来说，最直接的动作是：立刻改一次学校账号密码、打开二次验证、把同样密码用在邮箱或银行的赶紧分开。CISA的建议清单里提到，这一类凭据泄露事件的真正风险往往不是当下，而是在三到六个月后被打包卖到地下市场之后。