网络安全日报 2026年06月01日
1、Linux恶意软件Showboat持续渗透电信行业
https://securityonline.info/showboat-linux-malware-telecom-threat/
安全厂商曝光一款名为Showboat的模块化Linux恶意后门,该威胁自2022年持续活跃,长期将全球电信运营商、网络关键基础设施作为核心攻击目标,隐蔽性极强。该恶意软件集成远程命令执行、批量文件传输、Socks5代理隧道等多功能模块,通过篡改系统底层库文件隐藏自身进程,有效规避常规终端安全软件与服务器监测工具扫描。其配置文件采用固定密钥异或加密存储,运行后自动采集主机信息、进程列表、系统截图等核心数据,伪装成图片文件加密回传至攻击者C2服务器。攻击者仿冒东南亚通信品牌搭建域名、伪装正规业务流量,长期潜伏在无完善EDR防护的Linux边缘设备中,可数年不被察觉,持续窃取通信数据、非法控制基础设施,严重威胁区域网络运行安全。
2、攻击者利用开源平台传播DinDoor远控木马
黑客恶意滥用GitHub、SourceForge两大权威开源平台,批量分发携带DinDoor远控木马的虚假软件安装包。攻击者精准瞄准技术开发者群体,伪造ChatGPT、Claude等热门AI工具安装程序,搭配YouTube引流视频制造正规假象,诱导用户复制执行恶意系统命令。恶意脚本会自动部署Deno运行环境,植入无文件后门程序,可静默窃取浏览器账号凭证、加密货币钱包数据、社交聊天记录等敏感信息,同时支持远程屏幕监控、WebSocket隐蔽通信。攻击者通过频繁注册新账号、轮换恶意仓库规避平台清理,依托开源社区公信力降低用户警惕,目前已有大量开发者终端沦陷,引发大范围数据泄露风险。
3、研究人员发现一起Go语言开源生态潜伏式供应链攻击
https://securityonline.info/malicious-go-module-backdoor-discovered/
安全团队曝光一起跨度长达六年的Go语言开源生态潜伏式供应链攻击,攻击者利用形近包名伪造组件shopsprint/decimal,长期伪装正规开源工具规避监测。该恶意组件前期数年仅推送无害代码迷惑开发者,积累全网覆盖率与信任度,直至2023年正式植入恶意后门逻辑,开启规模化攻击。其后门采用隐蔽DNS通信机制,每五分钟向远程服务器发起DNS查询,通过解析TXT记录接收攻击者指令,可随时执行任意系统代码,窃取服务器权限、CI/CD密钥等核心资产。由于恶意包被公共Go代理缓存,即便原仓库删除仍持续扩散,广泛影响金融、科技、区块链行业项目,暴露开源组件长期潜伏攻击的重大安全隐患。
4、MuddyWater组织发动针对性攻击破坏美国地铁系统
https://www.govinfosecurity.com/la-metro-hack-was-part-iran-linked-campaign-a-31781
以色列一家网络安全公司确认今年3月美国洛杉矶地铁支付系统入侵事件,为APT组织MuddyWater主导的针对性网络破坏活动。攻击者结合自动化渗透工具与AI脚本简化攻击流程,高效突破基建系统防护体系,入侵后不仅窃取700GB包含办公邮件、系统备份在内的核心敏感数据,还恶意删除虚拟机、格式化磁盘,彻底破坏系统业务环境,直接导致地铁乘车卡充值服务全面瘫痪。该组织长期聚焦全球交通、能源、建筑等关键基础设施,此前多次袭击美国铁路、中东基建企业,惯用数据窃取结合系统销毁的破坏性攻击手法。AI赋能大幅降低其攻击门槛,持续对全球关键基础设施安全造成严峻威胁。
5、朝鲜Lazarus组织部署无文件RAT实施长期渗透
安全研究机构披露朝鲜知名APT组织Lazarus更新攻击武器体系,推出全新三阶段无文件远程控制木马RemotePE,凭借纯内存执行特性实现极致隐蔽的长期潜伏攻击。该组织依托Telegram平台开展精准社工钓鱼,伪造Calendly办公域名制作虚假诱导链接,欺骗政企人员点击触发恶意加载流程。整套攻击链路包含多级加载模块,可自动完成数据解密、系统安全防护钩子禁用、操作日志清理等操作,全程无文件落地,磁盘无任何入侵痕迹,极大增加溯源取证与安全检测难度。攻击者操作时段集中在UTC+9时区,木马具备完整的文件管控、进程调度、数据多次覆写销毁能力,主要瞄准金融机构、Web3企业等高价值目标实施窃密渗透,是当前政企网络重点防范的高危无文件威胁。
6、新型Android远控木马BTMOB大规模扩散
https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/
安全厂商披露新型Android远控木马BTMOB大规模扩散,该恶意软件由SpySolr演变而来,主打高隐蔽性与全权限控制能力,按月700美元售卖MaaS服务,面向全球开展攻击。BTMOB通过钓鱼网站诱导用户下载仿谷歌商店恶意APK,滥用无障碍服务获取高权限,可窃取短信、通话记录、账号密码,支持屏幕录制、远程控制,适配多国语言伪装成税务、物流等官方应用。攻击者开放定制化生成工具,可快速制作不同版本恶意软件,变种迭代快、检测率低,已在拉美、东南亚形成规模化攻击,大量用户设备被植入后遭持续监控与数据窃取,移动终端安全防护面临严峻挑战。
7、TamperedChef恶意软件伪装成办公软件传播
https://securityonline.info/tampered-chef-malware-productivity-apps/
安全研究人员曝光TamperedChef新型供应链攻击,攻击者批量制作仿PDF编辑器、日历、压缩工具等常用办公软件,植入恶意代码后通过正规推广渠道分发,已渗透超半数企业办公网络。恶意软件具备极强伪装性,界面功能与正版一致,含完整用户协议与技术支持页面,初始潜伏数周规避沙箱检测,触发后下载信息窃取模块、远控木马。攻击者长期运营广告投放网络,劫持搜索结果推送恶意软件,早期依赖高价EV证书规避检测,现改用AI生成海量页面变种,无需证书即可绕过防护,企业终端需严格管控非官方软件安装,防范隐蔽投毒风险。
8、Gogs代码托管平台曝远程代码执行漏洞
https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html
开源Git托管平台Gogs曝高危远程代码执行漏洞(CVSS 9.4),已报告两个多月仍未修复,默认配置下任意注册用户可利用漏洞接管服务器。攻击者创建含恶意分支名的合并请求,利用git rebase --exec参数注入命令,无需管理员权限即可执行任意代码、窃取仓库数据、横向渗透内网。漏洞影响Windows、Linux、macOS全平台,全网暴露实例超1100个,Rapid7已发布攻击模块,建议管理员关闭注册、限制仓库创建,及时加固防护避免未授权访问。
9、GPU挖矿恶意软件利用SEO投毒大规模扩散
新型GPU挖矿恶意软件大规模扩散,攻击者结合SEO投毒与AI生成技术,伪装成CrystalDiskInfo、HWMonitor等热门系统工具。攻击者注册150+恶意域名,抢占搜索及AI聊天工具推荐结果,诱导用户下载含恶意ZIP包的安装程序,通过DLL侧载植入ScreenConnect远控工具。恶意软件利用进程空洞技术注入微软签名.NET程序,设置6种自启动机制,自动添加杀毒软件排除项,具备反虚拟机、反调试能力,持续监控GPU使用率,闲置时启动加密货币挖矿,活动时自动终止,隐蔽性极强,溯源发现关联多个恶意基础设施。
10、美国监狱电话服务商泄露30万用户驾照信息
美国监狱电话服务商Pay Tel发生严重数据泄露,微软Azure云服务器无密码公开,暴露超30万用户驾照扫描件、政府证件照及通信、财务数据。该服务为全美监狱提供通话平板设备,用户注册需上传证件照片,泄露数据含精确拍摄地点,可定位家庭住址。2025年6月该公司曾遭勒索软件攻击,此次为二次安全事故,漏洞暴露数月后被安全厂商发现,期间数据可被任意下载,极易引发身份盗用、精准诈骗。截至5月28日,公司仍未公开致歉或通知受害者,数据安全管理严重失职。
声明
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动
