1、SideCopy组织针对阿富汗财政部门发起钓鱼攻击 https://www.seqrite.com/blog/operation-xenofiscal-sidecopy-deploying-persistent-xenorat-targeting-the-mof-afghanistan/ 研究人员披露一起针对阿富汗财政部门及34个省级税务机构的鱼叉式网络钓鱼活动，并以中高置信度将其归因于SideCopy高级持续性威胁组织。攻击以ZIP压缩包开始，其中包含带普什图语文件名的恶意LNK文件，文件名含义与参加智力与心理战研讨会的员工名单有关。行动中投放的诱饵文件是一份省级工作人员名录，覆盖34个省份，并列出财务主管、税务主管及联系电话。已披露信息显 2、JINX-0164攻击组织针对加密行业投放定制木马 https://www.wiz.io/blog/threat-actors-target-crypto-orgs 一个新网络攻击组织JINX-0164至少自2025年中期以来针对加密货币组织开展攻击。相关活动通过职业社交资料与目标开发者建立联系，并以商业机会或工作机会为诱饵诱导其访问虚假会议平台页面。受害者点击链接后，会下载面向macOS设备的远程访问工具，并开始窃取敏感数据。研究人员称，该活动涉及两个恶意软件家族，其中一个基于Python编译，具备信息窃取和后门功能，可收集浏览器凭证、加密货币钱包扩展、SSH密钥、云API令牌和剪贴板数据。攻击者还被指通过商业VPN隐藏网络活动，并篡改代码 3、攻击者利用WP地图插件漏洞恶意创建管理员账户 https://www.wordfence.com/blog/2026/05/15000-wordpress-sites-affected-by-administrator-account-creation-vulnerability-in-wp-maps-pro-wordpress-plugin/ 安全研究人员披露针对运行有存在漏洞版本WordPress地图插件的网站的攻击活动。涉及的漏洞编号为CVE-2026-8732，影响6.1.0及更早版本。该插件用于构建交互式地图和店铺定位器，常见于企业、房地产、旅游、目录和组织类网站。已披露信息显示，漏洞源于插件中的“临时访问”功能，该功能原本用 4、CIFSwitch本地提权漏洞影响多个Linux系统发行版 https://heyitsas.im/posts/cifswitch/ Linux内核中新发现的本地权限提升漏洞被命名为CIFSwitch，可能允许攻击者伪造CIFS身份验证密钥描述，滥用内核密钥请求机制并获得root权限。该问题影响多个提供易受攻击内核CIFS组件和cifs-utils组合的发行版，其中包括6.14及更高版本，也包括部分较旧变体。已披露信息显示，当CIFS网络共享使用Kerberos认证时，内核会请求用户空间辅助程序执行身份验证，而问题在于内核CIFS子系统未验证cifs.spnego密钥请求是否确实来自内核CIFS客户端。非特权用户可创建伪造请求并触发正常认证流程，使具 5、AI聊天分享链接功能被滥用投放木马传播网页 https://pushsecurity.com/blog/llmshare-malvertising-campaign 研究人员披露，黑客组织滥用某AI聊天服务的内容共享功能展示虚假的服务中断页面，并引导用户下载伪装成桌面应用程序的恶意软件。已披露信息显示，该活动通过搜索广告将查询相关服务的用户引导至托管在合法域名下的恶意共享页面。用户点击广告后，会看到一条渲染后的故障通知，声称网页版因访问量过大暂时不可用，并提示下载桌面应用继续使用。研究人员指出，虚假故障通知并非托管在攻击者基础设施上，而是通过该AI服务自身的渲染功能生成自定义HTML和CSS页面。若访问者点击下载按钮，将被引导至仿冒下 6、FortiClient终端管理服务漏洞被用于投放窃密程序 https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/ 黑客组织正在利用FortiClient终端管理服务器中的身份验证绕过漏洞CVE-2026-35616，传播未公开的信息窃取程序。该漏洞属于不当访问控制问题，允许未经身份验证的远程攻击者通过特制请求执行任意代码或命令。已披露信息显示，攻击者将恶意软件伪装成端点更新，并通过受管理VPN脚本工作流执行。入侵活动始于滥用端 7、黑客利用Meta AI客服机器人重置密码并劫持Instagram账号 https://www.freebuf.com/articles/ai-security/484061.html Meta 旗下 Instagram 的 AI 客服机器人存在关键逻辑漏洞，攻击者无需破解验证码，仅需向机器人索要访问权限即可完全绕过双重认证机制。上周末，高价值的"OG"短用户名账号、休眠机构账户及认证资料在数分钟内遭窃，被盗用户名几乎在入侵后立即被挂上 Telegram 频道转售。 8、Notepad++ 漏洞利用代码及安全漏洞细节公开 https://securityonline.info/notepad-exploit-code-vulnerabilities/ Notepad++曝三个高危漏洞（CVE-2026-48800、48778、48770），含XML文件代码执行和本地拒绝服务漏洞，CVSS最高7.8分。攻击代码已公开，用户需立即升级至v8.9.6.1修复。 9、五角大楼首次承认商业定位数据构成战场威胁 https://securityaffairs.com/192942/cyber-warfare-2/the-pentagon-finally-admits-that-location-data-is-a-battlefield-problem.html 敌对势力正利用商业定位数据追踪美军，智能手机和广告技术网络暴露战场安全风险。军方承认现有防护措施有限，商业数据可精确定位部队行动。国会质疑防护措施滞后，凸显监控经济威胁远超安全政策应对速度。 10、微软Netlogon远程代码执行漏洞遭在野利用 https://securityonline.info/netlogon-rce-vulnerability-exploited-in-the-wild/ 网络犯罪分子正利用高危Netlogon漏洞(CVE-2026-41089)攻击企业，可完全控制系统。微软已发布补丁修复，IT部门须立即部署，隔离域控制器并监控异常活动，防止身份体系被控。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、俄罗斯GREYVIBE组织使用AI攻击乌克兰相关实体 https://labs.withsecure.com/publications/greyvibe 安全研究人员披露，一个此前未被记录的网络攻击组织自至少2025年8月以来，持续针对乌克兰及相关实体开展攻击。该组织主要在俄罗斯时区活动，使用俄语，其活动与俄乌战争背景下针对乌克兰的情报收集有关。受害组织涵盖军事、政府、民间和商业机构。已披露信息显示，该组织使用鱼叉式钓鱼邮件、虚假验证码页面和欺诈性成人俱乐部网站传播恶意软件，并使用自行开发的混淆器、加载器和恶意软件。研究人员还发现，攻击者依赖生成式人工智能和大型语言模型增强攻击能力。报告对该组织与更广泛网络犯罪生态系统存在联系持中等把握，但其与 2、恶意NuGet开发包窃取银行系统接口凭证与证书 https://socket.dev/blog/malicious-nuget-package-impersonates-sicoob-sdk 安全研究人员发现，一个恶意开发包伪装成面向巴西合作金融系统的C#开发工具包，用于窃取客户端ID和PFX证书。已披露信息显示，相关包的2.0.0至2.0.4版本包含敏感信息窃取功能，当开发者使用客户端ID、PFX文件路径和PFX密码实例化客户端时，该软件包会读取磁盘上的PFX文件，对其内容进行Base64编码，并将客户端ID、PFX密码和编码后的PFX数据发送至硬编码第三方端点。报告还指出，该软件包可通过独立路径捕获支付接口的原始响应，可能暴露交易详情 3、荷兰当局捣毁千万级规模受感染设备的僵尸网络 https://nltimes.nl/2026/05/28/ncsc-dutch-police-disrupt-global-botnet-controlled-via-netherlands-based-servers 官方通报称荷兰当局捣毁了一个控制数百万台受感染设备的僵尸网络，相关设备包括计算机、平板电脑、智能手机和物联网设备，并被用于实施恶意活动。已披露信息显示，该僵尸网络至少包含1700万台受感染设备，位于荷兰的200多台服务器充当后端基础设施。警方从一家提供相关基础设施的托管服务商处查获部分服务器，该服务商在僵尸网络被用于犯罪活动后已将其下线。当地媒体称，涉事基础设施与住宅代理服 4、PAN-OS产品组件认证绕过漏洞已观察到攻击利用 https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257/ 研究人员披露，影响某远程访问门户和网关组件的认证绕过漏洞CVE-2026-0257正在被有限利用。该漏洞CVSS评分为7.8，攻击者可在特定配置条件下绕过安全限制并建立未经授权的VPN连接。已披露信息显示，受影响场景涉及启用身份验证覆盖cookie，并存在特定证书配置的门户或网关。安全研究人员称，最早观察到的成功利 5、攻击者滥用LLM代理执行Marimo漏洞攻击利用操作 https://thehackernews.com/2026/05/attackers-use-llm-agent-for-post.html 一个身份背景不明的网络攻击组织正恶意利用大型语言模型代理，通过近期披露的漏洞攻击公开访问的网络环境后，获得初始访问权限并执行入侵后操作。CVE-2026-39987为Marimo预认证远程代码执行漏洞，影响0.20.4及更早版本，允许未经身份验证的攻击者执行任意系统命令，问题已在0.23.0版本中修复。已披露信息显示，攻击者从被入侵主机中提取两个云凭证，并使用相关访问密钥调用云端密钥管理服务获取SSH私钥。随后，攻击者使用该私钥访问下游SSH堡垒服务 6、美国Charter电信服务商数据泄露影响百万用户 https://haveibeenpwned.com/Breach/Charter 美国Charter电信服务商在4月初遭入侵后，有490万个账户的个人信息被窃取。该公司确认事件真实，并表示攻击者未窃取敏感个人信息或客户专有网络信息。网络攻击组织ShinyHunters声称，其通过语音网络钓鱼攻击导致一名员工的云身份账户被盗用，并利用该访问权限从销售工具实例中窃取记录。相关公司否认客户专有网络信息被盗，称只有用于管理当前、过去和潜在企业客户的销售工具受到影响。后续泄露数据分析显示，受影响账户包含姓名、电子邮件地址、职位、电话号码和实际地址，其中约8.5万条来自内部员工名录的记录还包含职位名称 7、SpaceX安全工程师利用AI发现存在19年的Linux提权漏洞 https://www.freebuf.com/articles/system/483968.html CIFSwitch漏洞的发现方式与传统提权漏洞截然不同。SpaceX安全工程师Asim Manizada并非通过传统代码审计方式发现该漏洞，而是构建了一个AI驱动的框架——该框架能构建内核对象及其关系的语义图，然后让模型遍历这些图表，寻找组件创建内容与特权消费者预期内容之间的不匹配。最终发现这个影响Linux Mint、CentOS Stream 9、Rocky Linux 9、AlmaLinux 9、Kali Linux和SLES 15等主流发行版的多步骤逻辑链漏洞。 8、Liquidjs模板引擎高危漏洞，数百万项目面临远程代码执行风险 https://www.freebuf.com/articles/483889.html 安全研究人员近日在一款主流模板引擎中发现最高危漏洞。最新披露的 Liquidjs 远程代码执行漏洞（CVE-2026-45618）使数百万下游项目面临系统完全沦陷风险。该工具作为 JavaScript 开发者将 Shopify、Jekyll 或 GitHub Pages 模板移植到 Node.js 的核心组件，其月下载量超过 730 万次，潜在攻击面极为广泛。 9、周下载量超2.7万的Codex UI工具暗中窃取OpenAI刷新令牌 https://www.freebuf.com/articles/ai-security/483847.html 2026年5月27日，Aikido Security向Hackread.com披露了关于恶意npm包codexui-android的研究。这款广受移动开发者欢迎的软件工具被证实会窃取身份验证令牌。该工具是OpenAI Codex（一个能编写代码的人工智能模型）的远程网页用户界面，每周下载量高达约2.7万次。Aikido Security研究员Charlie Eriksen发现，该软件包上月实施了供应链攻击以窃取用户数据。 10、WP Maps Pro 插件漏洞遭野外利用 https://securityonline.info/wp-maps-pro-vulnerability-exploited/ WP Maps Pro插件曝0Day漏洞，允许未认证攻击者创建管理员账户接管网站。攻击已大规模爆发，24小时内超2500次攻击。必须立即升级至6.1.1版本并部署防护措施。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Linux恶意软件Showboat持续渗透电信行业 https://securityonline.info/showboat-linux-malware-telecom-threat/ 安全厂商曝光一款名为Showboat的模块化Linux恶意后门，该威胁自2022年持续活跃，长期将全球电信运营商、网络关键基础设施作为核心攻击目标，隐蔽性极强。该恶意软件集成远程命令执行、批量文件传输、Socks5代理隧道等多功能模块，通过篡改系统底层库文件隐藏自身进程，有效规避常规终端安全软件与服务器监测工具扫描。其配置文件采用固定密钥异或加密存储，运行后自动采集主机信息、进程列表、系统截图等核心数据，伪装成图片文件加密回传至攻击者C2服务器。攻击者仿冒东南 2、攻击者利用开源平台传播DinDoor远控木马 https://www.malwarebytes.com/blog/threat-intel/2026/05/fake-software-on-github-and-sourceforge-distribute-deno-rat 黑客恶意滥用GitHub、SourceForge两大权威开源平台，批量分发携带DinDoor远控木马的虚假软件安装包。攻击者精准瞄准技术开发者群体，伪造ChatGPT、Claude等热门AI工具安装程序，搭配YouTube引流视频制造正规假象，诱导用户复制执行恶意系统命令。恶意脚本会自动部署Deno运行环境，植入无文件后门程序，可静默窃取浏览器账号凭证、加密货币钱包 3、研究人员发现一起Go语言开源生态潜伏式供应链攻击 https://securityonline.info/malicious-go-module-backdoor-discovered/ 安全团队曝光一起跨度长达六年的Go语言开源生态潜伏式供应链攻击，攻击者利用形近包名伪造组件shopsprint/decimal，长期伪装正规开源工具规避监测。该恶意组件前期数年仅推送无害代码迷惑开发者，积累全网覆盖率与信任度，直至2023年正式植入恶意后门逻辑，开启规模化攻击。其后门采用隐蔽DNS通信机制，每五分钟向远程服务器发起DNS查询，通过解析TXT记录接收攻击者指令，可随时执行任意系统代码，窃取服务器权限、CI/CD密钥等核心资产。由于恶意包被公共 4、MuddyWater组织发动针对性攻击破坏美国地铁系统 https://www.govinfosecurity.com/la-metro-hack-was-part-iran-linked-campaign-a-31781 以色列一家网络安全公司确认今年3月美国洛杉矶地铁支付系统入侵事件，为APT组织MuddyWater主导的针对性网络破坏活动。攻击者结合自动化渗透工具与AI脚本简化攻击流程，高效突破基建系统防护体系，入侵后不仅窃取700GB包含办公邮件、系统备份在内的核心敏感数据，还恶意删除虚拟机、格式化磁盘，彻底破坏系统业务环境，直接导致地铁乘车卡充值服务全面瘫痪。该组织长期聚焦全球交通、能源、建筑等关键基础设施，此前多次袭击美国铁路、中东基 5、朝鲜Lazarus组织部署无文件RAT实施长期渗透 https://securityaffairs.com/192666/apt/lazarus-apt-unveils-fileless-remote-access-trojan-designed-to-evade-detection.html 安全研究机构披露朝鲜知名APT组织Lazarus更新攻击武器体系，推出全新三阶段无文件远程控制木马RemotePE，凭借纯内存执行特性实现极致隐蔽的长期潜伏攻击。该组织依托Telegram平台开展精准社工钓鱼，伪造Calendly办公域名制作虚假诱导链接，欺骗政企人员点击触发恶意加载流程。整套攻击链路包含多级加载模块，可自动完成数据解密、系统安全防护钩 6、新型Android远控木马BTMOB大规模扩散 https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/ 安全厂商披露新型Android远控木马BTMOB大规模扩散，该恶意软件由SpySolr演变而来，主打高隐蔽性与全权限控制能力，按月700美元售卖MaaS服务，面向全球开展攻击。BTMOB通过钓鱼网站诱导用户下载仿谷歌商店恶意APK，滥用无障碍服务获取高权限，可窃取短信、通话记录、账号密码，支持屏幕录制、远程控制，适配多国语言伪装成税务、物流等官方应用。攻击者开放定制化生成工具，可快速制作不同版本恶意软件，变种 7、TamperedChef恶意软件伪装成办公软件传播 https://securityonline.info/tampered-chef-malware-productivity-apps/ 安全研究人员曝光TamperedChef新型供应链攻击，攻击者批量制作仿PDF编辑器、日历、压缩工具等常用办公软件，植入恶意代码后通过正规推广渠道分发，已渗透超半数企业办公网络。恶意软件具备极强伪装性，界面功能与正版一致，含完整用户协议与技术支持页面，初始潜伏数周规避沙箱检测，触发后下载信息窃取模块、远控木马。攻击者长期运营广告投放网络，劫持搜索结果推送恶意软件，早期依赖高价EV证书规避检测，现改用AI生成海量页面变种，无需证书即可绕过防护，企业终端需严格 8、Gogs代码托管平台曝远程代码执行漏洞 https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html 开源Git托管平台Gogs曝高危远程代码执行漏洞（CVSS 9.4），已报告两个多月仍未修复，默认配置下任意注册用户可利用漏洞接管服务器。攻击者创建含恶意分支名的合并请求，利用git rebase --exec参数注入命令，无需管理员权限即可执行任意代码、窃取仓库数据、横向渗透内网。漏洞影响Windows、Linux、macOS全平台，全网暴露实例超1100个，Rapid7已发布攻击模块，建议管理员关闭注册、限制仓库创建，及时加固防护避免未授 9、GPU挖矿恶意软件利用SEO投毒大规模扩散 https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/ 新型GPU挖矿恶意软件大规模扩散，攻击者结合SEO投毒与AI生成技术，伪装成CrystalDiskInfo、HWMonitor等热门系统工具。攻击者注册150+恶意域名，抢占搜索及AI聊天工具推荐结果，诱导用户下载含恶意ZIP包的安装程序，通过DLL侧载植入ScreenCo 10、美国监狱电话服务商泄露30万用户驾照信息 https://techcrunch.com/2026/05/28/a-security-lapse-at-prison-payphone-service-pay-tel-publicly-exposed-over-300000-callers-drivers-licenses/ 美国监狱电话服务商Pay Tel发生严重数据泄露，微软Azure云服务器无密码公开，暴露超30万用户驾照扫描件、政府证件照及通信、财务数据。该服务为全美监狱提供通话平板设备，用户注册需上传证件照片，泄露数据含精确拍摄地点，可定位家庭住址。2025年6月该公司曾遭勒索软件攻击，此次为二次安全事故，漏洞暴露数月后被安全 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、恶意LinkedIn邮件滥用Adobe基础设施窃取凭证 https://www.malwarebytes.com/blog/threat-intel/2026/05/fake-linkedin-emails-abuse-adobe-to-track-victims 安全厂商曝光新型钓鱼攻击，不法分子伪造LinkedIn商务合作邮件，滥用Adobe合法基础设施隐蔽窃取用户账户密码。邮件伪装成LinkedIn官方商务询盘，附带看似PDF的.pdf.html恶意附件，内含高度混淆JavaScript代码。用户点击附件后跳转伪造LinkedIn登录页，输入凭证后被窃取；攻击者利用Adobe Target域名中转流量，降低追踪难度，窃取数据发送至境外服务器 2、Glassworm软件供应链攻击团伙遭联合打击 https://www.govinfosecurity.com/glassworm-group-software-supply-chain-attackers-disrupted-a-31792 CrowdStrike、谷歌联合Shadowserver基金会，成功瓦解Glassworm软件供应链攻击团伙。该组织自2025年初活跃，长期针对VS Code、Open VSX开发扩展市场发动供应链攻击，植入Glassworm远控木马。其核心特点是构建多层抗毁指挥链路，创新性结合Solana区块链、BitTorrent网络、谷歌日历事件与VPS服务器，规避溯源打击。攻击者窃取开发者凭证，篡改300余 3、Silent Ransom团伙真人上门实施数据勒索 https://cyberscoop.com/fbi-warning-silent-ransom-group-law-firms/ FBI发布预警，警示美国律所警惕Silent Ransom（Chatty Spider）团伙非常规数据勒索攻击。该团伙2022年Conti解散后崛起，不依赖传统勒索软件加密，主打社工+真人上门双重战术。攻击者先冒充IT支持或FBI致电，诱导安装远控软件；远程入侵失败则派遣人员物理上门，直接在工作站插入存储设备窃取数据。团伙精准瞄准律所，利用案件数据泄露引发的声誉危机实施高额勒索，2026一季度已发动130余起攻击，真人上门战术风险极高，暴露其激进作案风格，律所需 4、关键 Gogs 远程代码执行漏洞允许认证用户执行任意代码 https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html Gogs 流行开源自托管 Git 服务中存在一个严重安全漏洞，在特定条件下允许认证用户执行任意代码。根据 Rapid7 的报告，该安全漏洞在 CVSS 评分系统中的评级为 9.4，但没有 CVE 标识符。 5、攻击者利用关键 FortiClient EMS 漏洞部署凭证窃取器 https://thehackernews.com/2026/05/threat-actors-exploit-critical.html 攻击者继续利用一个关键的安全漏洞，该漏洞影响 FortiClient 终端管理服务器（EMS）部署，以交付凭证窃取恶意软件。Arctic Wolf 表示“该活动利用了受信任的终端管理基础设施来在受管理的终端上交付恶意软件，”。“攻击者将凭证窃取有效负载伪装成 Fortinet 终端更新，通过 PowerShell 静默执行恶意可执行文件。” 6、嘉年华数据泄露影响 600 万人 https://www.securityweek.com/carnival-data-breach-exposed-6-million-people/ 邮轮运营商嘉年华集团通知约 600 万人，他们的个人信息在最近的数据泄露事件中被窃取。嘉年华表示，该事件于 4 月 14 日被发现，当时黑客通过社会工程学手段获取了员工账户的访问权限。利用被盗的账户，攻击者访问了公司某些系统，并窃取了包含个人信息的文件。 7、新型 BTMOB 安卓恶意软件可完全控制设备 https://www.securityweek.com/new-btmob-android-malware-enables-full-device-takeover/ ESET 发出警告，BTMOB 远程访问木马（RAT）因其数据窃取和设备接管能力，对安卓用户构成了日益严重的威胁。据信 BTMOB 基于 SpySolr 恶意软件，通过利用流媒体、加密货币挖矿和其他熟悉服务等诱饵进行钓鱼攻击进行传播。 8、Gitea 漏洞导致 30,000 次部署面临攻击风险 https://www.securityweek.com/gitea-vulnerability-exposed-30000-deployments-to-attacks/ AI 渗透测试公司 NoScope 警告称，开源自托管 Git 服务 Gitea 中的一个漏洞可能允许未经身份验证的攻击者从超过 30,000 个部署中拉取私有容器镜像。该安全漏洞被追踪为 CVE-2026-27771，被描述为影响 Gitea 内置容器注册器的访问控制问题。Forgejo（共享相同实现）也受到影响。其他基于 Gitea 的分支可能也会受到影响。 9、Quasar Linux RAT 通过无文件执行和 eBPF Rootkit 攻击开发者群体 https://cybersecuritynews.com/quasar-linux-rat-targets-developers/ 新型Linux恶意软件QLNX针对开发者，采用内存运行、源码编译等高级手段窃取凭证，伪装成系统进程，构建网状网络攻击链。需全盘重装系统彻底清除，隔离网络并轮换凭证防范。 10、严重Twig RCE漏洞可绕过沙箱防护机制 https://securityonline.info/critical-twig-rce-flaws-patched/ Twig发布紧急安全更新，修复两个严重RCE漏洞（CVE-2026-46640和CVE-2026-46633），攻击者可绕过沙箱执行任意代码。所有低于3.26.0版本均受影响，需立即升级至3.26.0。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Ghost CMS漏洞致700余家教育科技网站遭ClickFix劫持 https://www.malwarebytes.com/blog/bugs/2026/05/700-education-and-tech-websites-hijacked-in-huge-clickfix-malware-campaign 安全厂商披露针对Ghost内容管理系统（CMS）的高危漏洞（CVE-2026-26980）已被大规模利用，超700家教育、科技类正规网站遭劫持，沦为Click恶意软件分发平台。该漏洞为未授权SQL注入缺陷，影响Ghost 3.24.0至6.19.0全版本，攻击者可无认证直接窃取管理员API密钥，批量向网站页面注入恶意JavaScript脚本。用户访问被 2、Laravel-Lang组件遭Git标签投毒植入恶意软件 https://securityaffairs.com/192697/security/malware-found-in-laravel-lang-composer-packages-after-git-tag-poisoning-attack.html 安全研究人员曝光Laravel生态第三方本地化组件Laravel-Lang遭遇Git标签投毒供应链攻击，四个核心Composer包遭篡改，超700个历史版本标签被恶意替换。攻击者篡改laravel-lang/lang、http-statuses、attributes、actions包的Git标签，将正常版本指向恶意分支，用户安装或更新时自动 3、VS Code高危漏洞可致开发者设备被完全接管 https://www.govinfosecurity.com/microsoft-code-editor-flaw-lets-attackers-hijack-developer-pcs-a-31775 微软代码编辑器Visual Studio Code曝出高危漏洞（CVE-2026-41613），攻击者可构造恶意MCP（模型上下文协议）安装链接，诱导开发者点击后接管设备。漏洞源于VS Code MCP安装界面隐藏字段未做校验，界面仅展示5个配置项，后台却支持10个隐藏字段，攻击者可嵌入恶意环境变量、HTTP头及Node.js --import参数，执行任意JavaScript代码。恶意代 4、Microsoft SharePoint曝高危远程代码执行漏洞 https://securityaffairs.com/192730/security/microsoft-sharepoint-has-a-new-rce-flaw-if-you-havent-patched-yet-go-do-that.html 微软SharePoint服务器曝出高危远程代码执行漏洞（CVE-2026-45659，CVSS 8.8），低权限用户即可利用漏洞接管服务器。漏洞成因是SharePoint反序列化未验证的不可信数据，拥有站点成员级最低权限的攻击者，可构造恶意数据包，通过网络发起远程代码执行攻击，控制服务器全权限。该漏洞影响SharePoint Server 20 5、Mission社区医院数据泄露案达成154万美元和解 https://www.hipaajournal.com/mission-community-hospital-data-breach-settlement/ 美国加州Mission社区医院运营方Deanco Healthcare就2023年勒索攻击数据泄露事件，达成154.6万美元集体诉讼和解。2023年5月1日，医院遭Ransomhouse勒索软件组织攻击，2.5TB患者数据被窃取，包含姓名、社保号、驾照号、财务信息等，波及26.9万名患者。事件曝光后引发集体诉讼，指控医院安全防护失职。和解协议约定，医院支付和解金用于患者赔偿、律师费及行政费用，患者可申请两年医疗数据监控服务，加州居民额 6、英国签证第三方平台泄露大量申请人敏感证件数据 https://techcrunch.com/2026/05/26/uk-visa-portal-spilled-thousands-of-applicants-passports-and-selfies-online-and-hasnt-fixed-the-leak/ 非官方英国签证申请第三方平台UK Visa Portal发生严重数据泄露，超10万份申请人护照照片、自拍证件照、个人信息遭公开暴露。该平台并非英国政府官方渠道，部分用户误将其当作官方网站提交签证材料，上传的护照、自拍等高度敏感证件数据未加密存储，直接公网可访问。安全研究员发现漏洞后多次联系平台方，仅收到法务与公关回复，泄露问 7、 Anthropic放宽Claude Mythos限制 https://cybersecuritynews.com/claude-mythos-moves-toward-public/ Anthropic将发布商用AI模型Claude Mythos 1，集成至Claude Code和Security产品，先面向企业客户，逐步扩大开放。该模型在网络安全等领域表现卓越，已发现大量高危漏洞，采取分层策略确保安全后推向公众。 8、 Apache CXF 曝出三处新漏洞 官方发布修复补丁 https://securityonline.info/apache-cxf-vulnerabilities-patch-guide/ Apache CXF框架修复三个高危漏洞，包括LDAP注入、XXE攻击和远程代码执行风险，影响多个版本。建议用户立即升级至4.2.1、4.1.6或3.6.11版本以确保安全。 9、Detectify推出MCP服务器 让AI Agent实时发现并修复漏洞 https://siliconangle.com/2026/05/26/detectify-debuts-mcp-server-let-ai-agents-find-fix-vulnerabilities-real-time/ Detectify发布MCP服务器，基于行业标准协议将安全测试引擎集成至AI编码工作流，实现漏洞自动化发现与修复，解决AI代码产出速度远超人工审查的痛点，提供确定性验证层确保生产安全，适应AI原生应用安全趋势。 10、Windows 内核本地提权漏洞技术细节披露 https://www.freebuf.com/articles/system/482969.html 微软近期修复了其核心操作系统组件中的一个重大安全问题。研究人员发现了一个危险的 Windows 内核本地提权漏洞（CVE-2026-40369），该漏洞允许已授权攻击者提升本地权限，使本地用户能够在受影响的机器上获取有限的 SYSTEM 权限。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、美国CISA将微软和Adobe漏洞纳入已知可利用漏洞目录 https://securityaffairs.com/192508/security/u-s-cisa-adds-microsoft-and-adobe-flaws-to-its-known-exploited-vulnerabilities-catalog.html CISA将多个高危漏洞纳入已知可利用漏洞目录，包括Windows Shell、ConnectWise ScreenConnect及Adobe漏洞，要求联邦机构2026年6月3日前修复。私营机构也应尽快修补这些可导致远程代码执行、权限提升和拒绝服务的漏洞。 2、"Mini Shai-Hulud"攻击迫使npm重置绕过双因素认证的发布令牌 https://cybersecuritynews.com/mini-shai-hulud-attack-forces-npm/ npm因"Mini Shai-Hulud"供应链攻击紧急重置绕过2FA的发布令牌，影响323个软件包。攻击者窃取凭证发布恶意版本，波及@antv和TanStack等热门库。npm推出分阶段发布功能防御，建议维护者启用MFA并轮换所有凭证。 3、PuTTY 0.84发布：修复 SSH 密钥交换崩溃与Telnet提示欺骗漏洞 https://www.freebuf.com/articles/endpoint/482746.html PuTTY 0.84 版本已发布，修复了多个低危安全漏洞，包括可能触发 SSH 密钥交换崩溃的问题以及 Telnet 提示欺骗缺陷。虽然这些漏洞严重性较低，但它们表明即使加密处理和会话逻辑中的微小缺陷，也可能被恶意服务器或中间人（MITM）攻击者在特定攻击场景中利用。 4、Kali365钓鱼工具包针对Microsoft 365用户实施攻击 https://cyberscoop.com/fbi-phishing-kali365-microsoft365-access-tokens/ FBI发布公开预警，一款名为Kali365的钓鱼即服务（PaaS）平台正在快速扩散，专门针对Microsoft 365用户实施攻击。该工具滥用微软合法设备授权页面，通过设备代码钓鱼技术绕过多因素认证（MFA），为攻击者应用授予持久访问权限。Kali365集成AI生成钓鱼诱饵、自动化攻击模板、实时追踪面板及OAuth令牌捕获能力，大幅降低攻击门槛。服务按月收费250美元、年费2000美元，捕获的访问令牌可共享复用，使攻击者无需密码即可长期访问邮箱、文档 5、iOS 16设备遭遇WhatsApp账户零点击盗取攻击 https://securityaffairs.com/192627/security/zero-click-whatsapp-account-takeover-hits-iphone-users-running-ios-16-no-linked-devices-no-warning.html 安全研究人员曝光针对iOS 16系统用户的WhatsApp高危零点击劫持漏洞，该攻击无需用户点击、授权、确认任何操作，即可在无感知状态下接管用户社交账号，风险覆盖面极广。此次攻击链依托CVE-2025-43300内存越界缺陷与CVE-2025-55177链接解析漏洞组合利用，攻击者可远程窃取设备本地W 6、Trump Mobile发生数据泄露暴露用户隐私信息 https://techcrunch.com/2026/05/22/trump-mobile-confirms-it-exposed-customers-personal-data-including-phone-numbers-and-home-addresses/ 美国电信运营商Trump Mobile官方确认发生大规模用户数据泄露事件，大量用户核心隐私数据对外公开暴露。经官方核查，本次事件并非核心系统被入侵，而是合作第三方服务平台出现严重配置漏洞，导致存储的用户明文数据无防护公网曝光。泄露数据范围覆盖全面，包含用户真实姓名、注册邮箱、家庭住址、手机号码、消费订单编号等高度敏感个人信息。 7、荷兰警方捣毁长期活跃的大型防弹托管平台 https://hackread.com/netherlands-busts-bulletproof-hosting-disinfo-cybercrime/ 荷兰财政情报调查局（FIOD）联合多国跨境执法机构开展专项打击行动，成功捣毁一个长期活跃的大型“防弹托管”服务平台，抓捕两名核心运营嫌疑人。该平台是黑产圈知名匿名基础设施服务商，长期无视网络安全法规与滥用投诉，专门为勒索软件团伙、网络诈骗组织、虚假信息传播团队、跨境黑灰产机构提供隐匿服务器、匿名域名与隐蔽网络托管服务，服务器节点遍布全球多个国家，可有效规避溯源追踪与司法制裁。此次执法行动成功查封全部涉案服务器、关停关联域名与IP资源，彻 8、GitHub为npm引入分阶段发布机制，抵御自动化供应链攻击 https://www.freebuf.com/articles/development/482605.html GitHub宣布为npm生态系统推出重大安全升级，正式上线分阶段发布功能与全新安装时控制机制，旨在减少针对开源软件包的自动化供应链攻击。这项新发布的分阶段功能彻底改变了npm软件包的发布与分发方式。 9、越南两个部委系统发生严重数据泄露，数百万用户受影响 https://www.secrss.com/articles/90698 越南国家网络安全中心主管称，两个存有数百万用户数据的部级机构系统遭受了严重网络攻击；据悉，两个机构均已部署SOC平台，但未能发现此攻击；该主管称，这暴露了越南大型政企机构的普遍问题，即花了大价钱投资安全系统，但缺乏足够的合规安全人才去操作使用，管理层对安全风险的认知也非常薄弱。 10、欧盟GDPR对数据违规“一案多查”，Meta又被罚4.3亿欧元 https://www.secrss.com/articles/90682 “一案双查”是一个非常经典的行业术语，一般是说办一个案子时得查另一方面的问题。比如，在侦办网络违法犯罪案件的同时，对涉案网络服务提供者法定网络安全义务履行情况进行监督检查。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Ghostwriter组织利用乌克兰学习平台发起钓鱼攻击 https://securityaffairs.com/192538/apt/ghostwriter-is-back-using-a-ukrainian-learning-platform-as-bait-to-hit-government-targets.html 白俄罗斯关联APT组织Ghostwriter（UAC-0057/UNC1151）重启攻击，以乌克兰官方在线学习平台Prometheus为诱饵，瞄准乌克兰政府机构。攻击始于2026年春季，通过已攻陷账号发送钓鱼邮件，内含PDF附件，链接指向含JS文件的ZIP压缩包。JS文件运行时显示诱饵文档，同时在注册表植入加密的OYSTERBL 2、伊朗黑客伪造招聘网站渗透国防企业 https://www.govinfosecurity.com/iranian-hackers-using-fake-job-sites-to-breach-defense-firms-a-31762 伊朗关联APT组织Screening Serpens（Smoke Sandstorm/UNC1549）发起大规模社工攻击，伪造航空航天、国防企业招聘网站，针对中东及全球政府、军工、卫星通信行业。攻击者通过LinkedIn或邮件联系求职者，发送含恶意简历、申请表的附件，部分带合法数字签名。植入恶意软件后，利用远控工具横向移动，窃取凭证、部署后门并销毁痕迹，疑似受伊朗伊斯兰革命卫队支持。 3、Megalodon供应链攻击6小时攻陷5561个GitHub仓库 https://hackread.com/github-repositories-megalodon-supply-chain-attack/ 安全厂商披露Megalodon供应链攻击，6小时内攻陷5561个GitHub仓库，推送5718条恶意代码更新。攻击者用8位随机假名注册账号，伪装为build-bot、ci-bot等自动化服务，植入两类恶意工作流：SysDiag自动窃取云凭证；Optimize-Build潜伏后门，可通过GitHub API激活。受害项目含Tiledesk，其开发者发布7个感染版本至npm，窃取AWS、谷歌云、Azure密钥及30类密码。 4、Drupal高危漏洞遭野外大规模利用 https://securityaffairs.com/192566/uncategorized/u-s-cisa-adds-a-flaw-in-drupal-core-to-its-known-exploited-vulnerabilities-catalog.html 美国CISA将Drupal核心高危漏洞（CVE-2026-9082，CVSS 9.8）列入KEV目录。该漏洞为SQL注入缺陷，存在于数据库查询净化API，未认证攻击者可构造请求注入任意SQL，接管PostgreSQL数据库站点，造成数据泄露、提权甚至远程代码执行。漏洞修复后48小时内，Imperva监测到15000次攻击， 5、黑客出售3.4亿条OnlyFans用户数据 https://hackread.com/hacker-selling-onlyfans-user-records-old-breaches/ 黑产论坛出现售价约7.6万美元（0.313 BTC）的OnlyFans用户数据库，号称含3.4亿条记录。卖家承认数据非直接入侵所得，而是整合Twitter、Instagram、Spotify等旧泄露数据与公开资料匹配生成，含用户名、邮箱、手机号、粉丝数、支付卡后四位等信息。样本显示数据存在占位符、格式混乱等问题，但可关联真实身份，引发钓鱼、勒索、跟踪等风险。 6、Datavant集团数据泄露案达成90万美元和解 https://www.hipaajournal.com/datavant-group-class-action-data-breach-settlement/ 美国医疗IT企业Datavant Group（原Ciox Health）就2024年5月数据泄露案达成90万美元和解。事件源于员工点击钓鱼邮件致账号被盗，32万余人的姓名、社保号、健康信息等敏感数据泄露。和解金用于律师费、行政成本及受害者补偿，受害者可申请最高5000美元损失报销或一次性现金补偿，另享一年身份盗用监控服务，索赔截止8月18日，该案为医疗数据泄露典型追责案例。 7、Bugcrowd推出强化学习环境，基于真实软件漏洞训练AI模型 https://siliconangle.com/2026/05/21/bugcrowd-launches-reinforcement-learning-environments-train-ai-real-software-vulnerabilities/ Bugcrowd推出强化学习环境服务，利用真实漏洞软件训练AI模型，解决合成数据不足问题。该服务基于收购Mayhem的技术，大幅缩短开发周期，已被多家大语言模型供应商采用。平台提供数十万真实环境，评估AI漏洞定位与修复能力，推动安全AI发展。 8、微软紧急修复 Defender 中两个 0Day 漏洞 https://www.csoonline.com/article/4175970/microsoft-patches-two-zero-day-flaws-in-defender.html 微软紧急修复Defender反恶意软件平台两个0Day漏洞（CVE-2026-41091和CVE-2026-45498），已被黑客利用，可提权或禁用防护。CISA将其列入已知漏洞目录，建议用户立即更新至最新版本。 9、谷歌公开未修复Chromium漏洞利用代码 数百万用户面临风险 https://cybersecuritynews.com/google-publishes-chromium-exploit-code/ 谷歌公开Chromium高危漏洞PoC代码，影响Chrome、Edge等浏览器，可致用户设备被秘密纳入僵尸网络。漏洞42个月未修复，仅访问恶意网站即可触发攻击，风险包括DDoS、流量劫持等。目前无补丁，建议禁用相关功能防范。 10、黑客可利用联想签名驱动强制终止EDR进程 https://cybersecuritynews.com/lenovo-driver-terminate-edr-processes/ 联想签名驱动BootRepair.sys存在漏洞，可被黑客利用终止安全进程，实现BYOVD攻击。建议企业监控驱动加载、限制权限并部署EDR防护，以应对滥用可信组件的威胁。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Android恶意软件伪装成主流应用自动订阅付费服务 https://hackread.com/android-malware-subscribe-services-without-consent/ 研究人员披露一起持续10个月的全球Android恶意软件诈骗活动，约250个恶意应用伪装成Facebook Messenger、Instagram Threads、TikTok、Minecraft、Grand Theft Auto (GTA)等热门软件，诱导用户安装。该恶意软件精准针对泰国、克罗地亚、罗马尼亚、马来西亚四国主流移动运营商，安装后自动禁用Wi-Fi，强制走蜂窝数据流量，拦截短信OTP验证码，自动触发付费订阅流程。其包含三个变种，分别负 2、Microsoft Defender漏洞遭野外持续攻击 https://www.malwarebytes.com/blog/bugs/2026/05/microsoft-defender-vulnerabilities-are-being-exploited 美国网络安全和基础设施安全局（CISA）将Microsoft Defender两个高危漏洞列入已知被利用漏洞（KEV）目录，确认漏洞正遭野外持续攻击。其中CVE‑2026‑41091漏洞（CVSS评分7.8）为本地提权漏洞，攻击者获取基础权限后，可借此突破防护获取SYSTEM级完全控制权限；CVE‑2026‑45498漏洞（CVSS评分4.0）为拒绝服务漏洞，可干扰甚至禁用Defender防 3、PinTheft漏洞导致Arch Linux面临提权攻击 https://securityaffairs.com/192456/security/pintheft-another-linux-privilege-escalation-another-working-exploit-this-time-targeting-arch.html 安全团队披露Linux内核RDS（Reliable Datagram S）子系统本地提权漏洞PinTheft，已公开可用的漏洞利用代码，暂无CVE编号。漏洞源于zerocopy双释放缺陷，攻击者可通过io_uring篡改页面缓存，获取root权限。该漏洞仅默认影响Arch Linux，Ubuntu、Fedora、 4、暗网大型卡商平台泄露460万条支付卡信息 https://securityaffairs.com/192415/cyber-carding-site-b1acks-stash-dumps-4-6-million-stolen-cards-for-free.html 暗网大型卡商平台B1ack's Stash公开泄露460万条支付卡记录，此举为惩罚违规转卖数据的卖家。泄露数据包含卡号、CVV2码、有效期、持卡人姓名、账单地址、邮箱、电话、IP等完整信息，经筛选后约430万条有效，70%来自美国，其余集中在加拿大、英国、法国、马来西亚。该平台自2023年运营，多次以免费泄露数据引流，此次泄露或引发大规模盗刷、身份盗用、精准钓鱼诈骗，用户 5、加拿大警方逮捕Kimwolf僵尸网络运营人员 https://cyberscoop.com/kimwolf-botnet-alleged-administrator-jacob-butler-arrested-canada/ 加拿大警方逮捕23岁男子Jacob Butler，其为大型DDoS僵尸网络Kimwolf核心管理员，绰号Dort。Kimwolf自2025年起活跃，控制超200万台Android TV设备，作为DDoS租赁服务发起2.5万次攻击，造成数百万美元损失，还曾攻击美国国防部网络。今年3月，相关僵尸网络基础设施被查封，但Kimwolf仍持续运作，Butler因操作IP重叠被溯源锁定，面临引渡美国，最高可判10年监禁，事件暴 6、诈骗者利用微软内部账户批量发送垃圾邮件 https://techcrunch.com/2026/05/21/scammers-are-abusing-an-internal-microsoft-account-to-send-spam/ 安全监测机构发现不法分子冒用微软官方认证内部账号批量推送垃圾诈骗邮件，发件账号具备平台官方核验标识，具备极高迷惑性，能够轻易绕过主流邮箱的反垃圾过滤机制。诈骗邮件假借虚假交易通知、私信提醒等名义诱导收件人点击内嵌链接，跳转至高度仿制的微软官方登录页面，借机盗取用户账号、登录密码等核心凭证。微软正在积极调查并采取行动，以保护客户安全，包括进一步加强检测和屏蔽机制，同时移除违反使用条款的账户。安全人员 7、思科修复Secure Workload产品高危漏洞 https://securityaffairs.com/192473/security/cisco-fixed-maximum-severity-flaw-cve-2026-20223-in-secure-workload.html 思科官方发布安全更新补丁，修复旗下Secure Workload安全产品中一处高危漏洞，漏洞编号为CVE-2026-20223，危险评级CVSS 分数达到10.0（最高危）。该漏洞属于身份认证绕过缺陷，未取得访问权限的远程攻击者，可构造恶意接口请求突破系统防护，非法新建管理员账号、篡改设备运行参数，甚至在业务服务器中执行任意恶意指令。Secure Workloa 8、社交媒体为人工智能网络钓鱼活动提供了原始素材 https://www.helpnetsecurity.com/2026/05/19/social-media-phishing-ai-generated-emails/ 研究显示攻击者可仅凭社交媒体公开动态，结合生成式AI制作极具可信度的定制钓鱼邮件，无需盗取数据库信息或是开展大规模情报搜集。科研人员选取200名用户的社交公开内容，运用GPT-4、Claude 3 Haiku等五款主流大模型，共计生成18000封钓鱼邮件。攻击话术涵盖诱饵诱导、恐吓欺骗、情感陷阱、身份仿冒等七类社工手段，邮件中嵌入生日、旅行爱好、地域活动等个人细节，贴合用户真实生活场景。对比网络犯罪数据库内的传统钓鱼邮件， 9、多国联合执法行动关停二十余个勒索团伙使用的V*PN服务 https://techcrunch.com/2026/05/21/law-enforcement-shuts-down-vpn-service-used-by-two-dozen-ransomware-gangs/ 多国联合执法部门采取专项行动，依法关停名为First VPN的网络代理服务平台。长期以来，该VPN服务被至少25个知名勒索软件犯罪团伙频繁使用，包括BlackCat、Royal、Conti等组织，犯罪分子借助服务隐藏真实网络地址，跨境开展数据窃取、系统加密勒索等违法活动。执法团队经过长期侦查取证，取得司法审批授权后，查封涉案服务器、关停相关域名站点，直接切断大批勒索团伙的隐蔽上 10、ChromaDB存在未修复高危漏洞可致服务器被完全接管 https://www.securityweek.com/unpatched-chromadb-vulnerability-can-lead-to-server-takeover/ 安全厂商披露开源向量数据库ChromaDB存在未修复高危远程代码执行漏洞（CVE-2026-45829），未认证攻击者可接管服务器。漏洞因服务器信任客户端模型标识、认证前执行代码，攻击者提交恶意HuggingFace模型即可触发，执行任意命令、窃取API密钥等敏感数据。漏洞影响1.0.0后所有版本，73%公网暴露实例受影响。厂商多次反馈未获响应，临时防护需限制网络访问，暂无官方补丁，企业需尽快加固边界防护。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、纽约公立医疗系统遭第三方入侵泄露180万患者敏感数据 https://www.govinfosecurity.com/public-nyc-health-system-notifying-18m-hack-a-31726 美国纽约市大型公立医疗体系NYC Health + Hospitals披露一起大规模数据泄露事件，因合作第三方供应商存在安全漏洞，导致近180万名患者的隐私数据遭到泄露。该医疗系统覆盖纽约五大区七十余家诊疗机构，服务海量基层病患，此次泄露数据范围极广，包含医保参保信息、诊疗记录、账单凭证、社保编号、银行卡信息，以及指纹、掌纹等不可重置的生物识别数据，长期隐私与财产风险极高。安全专家表示，生物识别数据无法像密码一样修改，一旦泄露 2、GitHub遭遇供应链攻击泄露3800个内部代码库数据 https://www.varonis.com/blog/github-breach 微软旗下代码托管平台GitHub确认遭遇针对性供应链攻击，威胁组织TeamPCP利用员工终端安装的恶意VS Code扩展突破内部防护，非法窃取平台内部核心源码资源，共计3800个内部仓库数据遭外泄。TeamPCP是专注供应链攻击的知名黑产团伙，此前曾多次入侵开源安全项目与开发工具平台。此次攻击中，攻击者依托恶意开发工具实现无感知渗透，全程规避常规安全检测，窃取的核心源码涵盖平台多项核心业务模块。攻击得逞后，该团伙在黑产论坛挂牌售卖数据，底价5万美元，并威胁若无买家将全网公开泄露。事件发生后，GitHub迅速 3、OpenClaw AI框架曝高危漏洞可劫持AI代理 https://www.govinfosecurity.com/patched-openclaw-flaw-let-hackers-hijack-ai-agents-a-31720 安全厂商披露开源智能代理框架OpenClaw存在一组高危漏洞，被命名为Claw Chain，包含四组可联动利用的安全缺陷，最高漏洞评分达9.6分，影响4月23日前发布的全部版本。该框架因功能强大、开源免费，上线短期内成为GitHub热门项目，全网暴露公网实例最高达24.5万台。四类漏洞分别对应CVE-2026-44112、CVE-2026-44115、CVE-2026-44118、CVE-2026-44113，涵 4、CISA监管机构不慎公开大量明文密钥与系统凭证 https://techcrunch.com/2026/05/19/us-cyber-agency-cisa-exposed-reams-of-passwords-and-cloud-keys-to-the-open-web/ 美国网络安全和基础设施安全局（CISA）曝出严重内部安全事故，其合作承包商员工不慎将大量明文密码、云访问密钥、系统令牌等核心敏感凭证，上传至公开GitHub仓库，导致美国国土安全部（Department of Homeland Security）及CISA内部系统访问权限暴露。这些凭证可直接对接政府云资源与内部业务系统，风险等级极高。该漏洞由GitGuardian安全 5、微软成功捣毁Fox Tempest恶意代码签名黑产团伙 https://cyberscoop.com/microsoft-digital-crimes-unit-disrupts-fox-tempest/ 微软数字犯罪部门（Microsoft Digital Crimes Unit）联合执法力量，成功瓦解长期活跃的Fox Tempest黑产团伙，捣毁其全套恶意代码签名非法服务体系。该团伙自2025年9月起持续运作，伪造正规企业身份滥用微软Artifact Signing系统，批量制作售卖虚假合法代码签名证书。各类勒索组织、信息窃取团伙可依托该证书为恶意软件赋能，规避系统安全校验、绕过终端防护，实现木马、勒索病毒、钓鱼程序的免杀传播。该团伙累计制作 6、存在九年的Linux内核漏洞可导致主流发行版root命令执行 https://thehackernews.com/2026/05/9-year-old-linux-kernel-flaw-enables.html Linux内核曝出潜伏九年的高危漏洞CVE-2026-46333，可让本地攻击者获取root权限并窃取敏感数据，影响主流发行版。补丁已发布，建议立即更新或临时调整安全参数。同时Arch Linux的PinTheft漏洞PoC也被公开，需警惕本地提权风险。 7、Claude Code网络沙箱漏洞暴露用户凭证与源代码 https://cybersecuritynews.com/claude-codes-network-sandbox-vulnerability/ Claude Code AI编程助手存在严重网络沙箱漏洞，攻击者可窃取凭证和源代码，漏洞持续5个月未被公开。Anthropic静默修复但未公告，用户需立即升级至v2.1.90+并轮换凭证。建议将沙箱视为防御措施而非安全边界。 8、暗网数据贩子将历史泄露事件重新包装为"新企业数据泄露" https://cybersecuritynews.com/dark-web-brokers-repackage-old-breaches/ 暗网虚假数据泄露泛滥，黑客回收历史数据重新包装成"新情报"出售，消耗企业安全资源。中文暗网五大核心数据源每月发布600-1000条虚假声明，混合真实与伪造信息制造恐慌。企业需结构化验证数据真实性，避免分散对真实威胁的注意力。 9、黑客利用伪造所得税评估页面感染Windows系统 https://cybersecuritynews.com/hackers-use-fake-income-tax-assessment-pages/ 印度税务诈骗活动TAX#TRIDENT通过伪造税务文件攻击Windows用户，利用三条感染链部署恶意软件，包括远程控制工具和劫持合法企业软件，需警惕可疑税务链接并加强行为监控防御。 10、思科Secure Workload严重漏洞可导致未授权API访问 https://cybersecuritynews.com/cisco-secure-workload-vulnerability/ 思科Secure Workload平台曝严重漏洞（CVE-2026-20223，CVSS 10.0），攻击者可利用未认证API获取管理员权限，影响所有版本。思科已发布修复版本，建议立即升级，SaaS用户无需操作。该漏洞凸显内部API安全风险，需加强访问控制。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、GitHub 遭入侵：员工设备遭恶意扩展攻击致内部源码仓库泄露 https://www.freebuf.com/articles/database/481971.html 2026年5月20日，GitHub通过系列官方声明证实，其检测到某员工设备因安装恶意Visual Studio Code扩展而遭入侵，导致内部代码仓库遭到未授权访问。这家微软旗下的代码托管平台表示，在发现某遭篡改的VS Code扩展被用于入侵员工终端后，已迅速识别并控制住此次入侵事件。 2、Apache Flink 高危漏洞可导致远程代码执行攻击 https://www.freebuf.com/articles/database/481799.html Apache Flink 近日披露一个编号为 CVE-2026-35194 的高危漏洞，该漏洞通过平台代码生成引擎中的 SQL 注入缺陷，使分布式数据处理环境面临远程代码执行（RCE）攻击风险。 3、严重n8n漏洞使自动化节点面临完整RCE风险 https://cybersecuritynews.com/n8n-rce-vulnerabilities/ n8n工作流自动化平台曝出三个严重漏洞（CVE-2026-44789至44791），可串联实现远程代码执行，影响HTTP、Git和XML节点。低权限用户即可利用，建议立即升级至修复版本或临时禁用相关节点。 4、Mythos Preview 实现自动化漏洞研究中PoC漏洞利用链构建 https://cybersecuritynews.com/mythos-preview-builds-poc-exploits/ Anthropic的AI模型Mythos Preview实现突破，能串联漏洞生成可验证的PoC利用链，填补漏洞发现与利用间的技术鸿沟。需定制化框架优化结果，但安全防护仍需额外措施，凸显攻防时间窗缩短的紧迫性。 5、攻击者利用旧版MSHTA程序发起大量攻击活动 https://www.bitdefender.com/en-us/blog/labs/microsofts-mshta-legacy-malware-windows Bitdefender安全研究人员发现，微软Windows系统自带的旧工具MSHTA虽为合法组件，但仍被攻击者大量滥用，成为常用的LOLBIN（Living-off-the-Land binary）工具，用于投递各类恶意软件。该工具可默认执行VBScript和JavaScript脚本，即便IE浏览器已退役，其相关功能仍被保留以保障兼容性，这也成为攻击者可利用的漏洞。攻击者借助MSHTA的合法进程身份，构建多阶段无文件执行链，通 6、波兰官员账户遭受网络攻击后停止使用Signal通讯应用 https://securityaffairs.com/192381/intelligence/poland-shifts-away-from-signal-following-cyberattacks-on-officials-accounts.html 波兰政府近期宣布，禁止官方人员使用Signal通讯应用处理敏感信息，转而采用国产加密通信工具mSzyfr及隔离系统SKR-Z，起因是多名政府官员遭遇针对性网络攻击，其Signal账号信息被窃取。经调查，此次攻击并非Signal加密机制被破解，而是亲俄APT组织采用社会工程学手段实施，攻击者冒充Signal平台客服，通过虚假通知诱骗用户泄露 7、全球连锁便利店7-11近期确认遭遇数据泄露事件 https://securityaffairs.com/192336/data-breach/shinyhunters-hack-7-eleven-franchisee-data-and-salesforce-records-exposed.html 全球连锁便利店7-11近期确认遭遇数据泄露事件，知名黑客组织ShinyHunters公开宣称，已成功入侵7-11存储加盟商信息的系统，窃取超60万条Salesforce相关记录及加盟商敏感数据，涵盖加盟商个人身份信息、经营数据、联系方式等，同时包含部分企业内部业务数据。据悉，此次攻击发生于4月8日，黑客组织通过漏洞入侵系统后，窃取数据并向7-1 8、PureLogs窃密木马通过钓鱼邮件传播窃取多类凭证 https://www.helpnetsecurity.com/2026/05/19/purelogs-infostealer-delivery-steganography/ 研究人员发现PureLogs新型信息窃取器正通过钓鱼邮件在全球范围内传播，其传播载体为附发票主题的TXZ压缩包，邮件以“逾期余额确认”为诱饵，伪造采购经理身份催促用户立即打开附件，利用用户的紧急心理实施攻击。该恶意软件采用先进隐写术技术，将加密后的恶意载荷隐藏在普通猫咪PNG照片中，成功规避多数安全软件检测。用户打开附件后，内置的JavaScript脚本会通过混淆手段隐藏恶意命令，启动隐藏的PowerShell会话，加 9、Endue Software同意支付87万美元达成数据泄露和解协议 https://www.hipaajournal.com/endue-software-data-breach-settlement/ 医疗SaaS企业Endue Software就2025年发生的数据泄露事件，与受害者达成87万美元的集体诉讼和解协议。据悉，该数据泄露事件发生于2025年2月，EndueSoftware系统遭黑客入侵，导致11.8万名患者的敏感信息泄露，泄露数据包括患者姓名、社保号、病历号、就诊记录等核心医疗及个人信息，可能被用于医疗诈骗、身份盗用等违法活动。事件发生后，多名受害者联合发起集体诉讼，指控该企业存在安全防护过失。尽管EndueSoftware否认自身存在安全过 10、DeepSeek泄露用户对话内容？回应：特殊字符引发幻觉 https://www.secrss.com/articles/90520 5月19日晚，DeepSeek官方账号发布《关于think字符触发模型异常回复的说明》称，近期有用户反馈，在与DeepSeek模型的对话中输入“think”这类特殊字符后，模型偶发返回不可预期的内容，使部分用户产生了“对话泄露”的疑虑。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。