1、疑似马来西亚政府支持黑客利用Cloudflare开展长期间谍行动 https://hackread.com/government-backed-hackers-cloudflare-malaysia-espionage/ Oasis Security最新研究显示，疑似马来西亚政府支持的黑客团队，长期利用隐藏的命令与控制（C2）系统开展间谍行动，并滥用Cloudflare的存储和内容分发服务托管恶意载荷、钓鱼材料，借助可信云平台规避安全检测。该行动基础设施设计隐蔽，通过灵活响应连接、限制公共扫描可见性等方式长期活跃，服务器定期轮换维护，聚焦情报收集，与区域网络间谍活动模式存在重叠。黑客还倾向使用临时基础设施降低成本，研究人员建议企业加强行为监测，而非仅依赖域 2、Reaper恶意软件利用伪造的微软域名窃取macOS密码 https://hackread.com/reaper-malware-fake-microsoft-domain-macos-passwords/ SentinelOne发现新型Reaper恶意软件（SHub变种），可绕过macOS Tahoe 26.4安全更新，伪装成系统更新及微信、Miro等常用软件，通过拼写错误的伪造微软域名（mlcrosoft.co.com）诱骗用户。攻击者通过虚假下载页触发恶意脚本，诱骗用户打开Script Editor并运行命令，索要设备登录密码，进而窃取浏览器、密码管理器、加密货币钱包数据，还会窃取指定大小的文件并分块上传，同时模仿谷歌软件更新路径安装永久后门 3、研究员披露Windows零日漏洞MiniPlasma https://securityaffairs.com/192325/hacking/chaotic-eclipse-discloses-miniplasma-zero-day-suggesting-a-missing-or-undone-2020-windows-security-fix.html 研究员Chaotic Eclipse披露Windows零日漏洞MiniPlasma，该漏洞实为2020年上报并宣称已修复的CVE-2020-17103，因未被正确修复或补丁回滚，目前仍可在所有已打2026年5月更新的Windows 11上生效，可通过Windows云文件迷你筛选驱动漏洞提升至SY 4、攻击者利用NGINX高危漏洞实现DoS攻击及代码执行 https://www.helpnetsecurity.com/2026/05/18/ngnix-vulnerability-exploited-cve-2026-42945/ VulnCheck研究员披露，上周公开的NGINX高危漏洞CVE-2026-42945（绰号NGINX Rift）已被攻击者利用。该内存损坏漏洞影响NGINX开源及商业多个版本和相关产品，攻击者发送特制HTTP请求即可实现未授权拒绝服务（DoS），禁用地址空间布局随机化（ASLR）后还可远程执行代码。5月16日已出现利用尝试，全球约570万暴露NGINX服务器可能受影响，负责开发的F5公司已发布修复版本，同时提供临时 5、Tabiq酒店入住系统配置失误导致超百万份顾客数据遭泄露 https://securityaffairs.com/192302/data-breach/public-amazon-bucket-leaks-sensitive-guest-data-from-japanese-hotel-platform-tabiq.html Reqrea公司的Tabiq酒店入住系统因亚马逊S3云存储桶配置错误，导致超100万份旅客护照、驾照及自拍验证照片公开暴露在网上，任何人知晓“tabiq”桶名即可无需认证访问。该漏洞由安全研究员Anurag Sen发现并上报，经TechCrunch及日本JPCERT通知后，系统已被修复、存储桶被锁定。Reqrea表示尚不清楚存 6、国际刑警牵头在中东和北非的13个国家开展网络犯罪打击行动 https://cyberscoop.com/interpol-operation-ramz-middle-east-north-africa/ Interpol牵头13个中东、北非国家开展“Ramz行动”，这是该地区首次大规模网络犯罪打击行动。行动历时4个月，累计逮捕201人、查获53台服务器、识别382名嫌疑人，打击范围涵盖钓鱼服务、恶意软件及金融诈骗。期间还发现约旦有受害者被迫参与诈骗，多国同步开展服务器查封、设备扣押等行动，并有多家安全机构提供支持，目前相关调查仍在推进中。参与这项行动的机构收集了近8000条数据，这些数据在参与国之间共享，以支持正在进行的调查。 7、托瓦兹称AI漏洞报告导致Linux安全邮件列表不堪重负 https://cybersecuritynews.com/linus-torvalds-on-ai-bug-reports/ 林纳斯警告AI漏洞报告泛滥导致Linux安全邮件列表难以管理，新规要求AI报告必须公开处理并提高质量，强调需提供可验证影响和补丁，避免重复低效报告，同时认可AI工具价值但需优化流程。 8、微软确认 Windows 11 更新失败并报错 0x800f0922 https://cybersecuritynews.com/microsoft-windows-11-update/ 微软确认2026年5月更新KB5089549因EFI分区空间不足导致安装失败（错误0x800f0922），主要因Secure Boot变更新增文件。更新包含安全补丁、BitLocker修复等关键改进，企业可通过自动化脚本管理证书部署。微软正推出修复方案。 9、百万WordPress网站受Avada Builder文件读取与SQL注入漏洞影响 https://cybersecuritynews.com/avada-builder-plugin-vulnerability/ Avada Builder插件曝高危漏洞，允许攻击者窃取敏感数据和SQL注入，影响超百万站点。漏洞涉及文件读取和数据库攻击，CVSS评分最高7.5。建议立即升级至3.15.3版本并加强防护，凸显及时修补的重要性。 10、美国CISA将Exchange Server漏洞列入已知被利用漏洞目录 https://securityaffairs.com/192240/hacking/u-s-cisa-adds-a-flaw-in-microsoft-exchange-server-to-its-known-exploited-vulnerabilities-catalog.html CISA将Exchange Server高危漏洞（CVE-2026-42897）列入已知被利用目录，该0Day漏洞可致XSS攻击，通过OWA触发恶意代码，威胁企业邮件系统安全。微软已监测到在野利用，建议立即采取缓解措施。联邦机构须5月29日前修复。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Tycoon2FA新增设备码钓鱼劫持微软账户 https://www.esentire.com/blog/tycoon-2fa-operators-adopt-oauth-device-code-phishing 研究人员发现曾在3月遭国际执法行动打击的钓鱼平台Tycoon2FA已在新基础设施上恢复运行，并新增“设备码钓鱼”能力，目标指向Microsoft 365账户。研究人员发现，攻击者通过带有Trustifi点击跟踪链接的发票主题邮件，将受害者经由Trustifi、Cloudflare Workers及多层混淆脚本引导至伪造页面，再诱导其在微软合法的microsoft.com/devicelogin页面输入设备码并完成多因素认证。此 2、诈骗者寄送假信件诱骗Ledger用户泄露助记词 https://support.ledger.com/zh-CN/article/scams-targeting-crypto-holders 意大利有诈骗者通过邮寄实体钓鱼信件，冒充Ledger相关通知，诱导加密钱包用户泄露助记词。信件中包含二维码，收件人扫码后可能被引导至伪造页面，并被要求输入钱包恢复所需的seed phrase。一旦助记词泄露，攻击者即可控制受害者钱包中的加密资产。该事件表明，针对加密货币用户的钓鱼手法已从电子邮件等线上渠道扩展到线下邮寄场景，用户需对涉及助记词、恢复短语等敏感信息的任何请求保持警惕。 3、Grafana称源代码被盗后拒绝勒索要求 https://hackread.com/grafana-source-code-theft-rejected-ransom-demand/ Grafana表示，攻击者通过获取其GitHub令牌后访问了公司代码库，并窃取了部分源代码。公司称，在发现事件后已采取应对措施，并明确表示拒绝了对方提出的勒索要求。根据目前披露的信息，此次事件影响范围主要限于源代码层面，未波及客户数据，也没有证据表明其生产系统或客户环境受到影响。该事件再次凸显了代码托管平台访问凭证的重要性，以及企业在令牌管理、权限控制和事件响应方面面临的安全挑战。 4、思科SD-WAN控制器认证绕过漏洞正遭利用 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW 思科Catalyst SD-WAN Controller中一处认证绕过漏洞正被活跃利用。该漏洞编号为CVE-2026-20182，攻击者可通过设备上的DTLS 12346端口绕过身份验证，进而获得管理员级访问权限。根据已披露信息，相关利用活动发生在2026年5月之后，表明该漏洞已从安全风险演变为现实攻击面。报道指出，该问题影响思科SD-WAN控制器的访问控制机制，可能导致未授权人员 5、PraisonAI认证绕过漏洞披露后迅速遭定向利用 https://github.com/advisories/GHSA-6rmh-7xcm-cpxj PraisonAI的一个认证绕过漏洞（CVE-2026-44338）在5月11日公开披露后不久即被攻击者关注并利用。该漏洞会暴露/agents接口，使未授权访问成为可能。根据文中信息，从漏洞披露到出现针对该漏洞的利用探测，仅间隔约3小时44分钟，显示出攻击者对新披露高风险漏洞的响应速度极快。现有内容主要说明了受影响接口、漏洞类型以及被尝试利用的时间窗口，未进一步披露更详细的技术成因、影响范围或攻击后果。整体来看，此事件再次反映出公开披露后的短时间内即可能出现实战化探测与攻击活动。 6、FunnelBuilder漏洞致四万余商店结账数据被窃 https://sansec.io/research/funnelkit-woocommerce-vulnerability-exploited WooCommerce相关插件Funnel Builder存在一个已被攻击者利用的安全漏洞，影响超过4万家在线商店。攻击者借助该缺陷在受影响站点中植入伪造的Google Tag Manager（GTM）代码，从而在用户结账过程中窃取支付信息，形成典型的结账页面信用卡盗刷链路。报道指出，相关风险在修复版本3.15.0.3发布前尤为突出，未及时更新的商店面临较高暴露风险。该事件再次表明，电商站点插件一旦存在漏洞，可能直接危及支付数据安全，运营方应尽快完 7、Claude Code RCE漏洞允许攻击者通过恶意深度链接执行命令 https://cybersecuritynews.com/claude-code-rce-flaw/ Anthropic的Claude Code CLI工具存在严重RCE漏洞，攻击者通过特制深度链接可执行任意命令。漏洞源于参数解析缺陷，允许注入恶意钩子命令。2.1.118版本已修复，建议用户立即更新。 8、NGINX CVE-2026-42945漏洞遭野外利用 https://thehackernews.com/2026/05/nginx-cve-2026-42945-exploited-in-wild.html NGINX Plus和开源版爆出堆缓冲区溢出漏洞（CVE-2026-42945），可致服务崩溃或特定条件下远程代码执行，野外攻击已现。openDCIM同期曝高危漏洞链，攻击者组合利用可远程执行代码。建议用户紧急更新补丁。 9、Fast16恶意软件篡改核武器模拟数据以破坏测试结果 https://cybersecuritynews.com/fast16-malware-manipulated-nuclear-weapons/ Fast16恶意软件通过篡改核武器模拟数据误导工程师，延缓武器研发而非直接破坏。针对流体动力学软件精密设计，仅微调关键参数制造合理误差，消耗资源并加剧内部矛盾。与震网病毒形成数字战略互补，开辟新型认知战战场。 10、Linux内核漏洞"ssh-keysign-pwn"允许窃取SSH密钥与密码文件 https://cybersecuritynews.com/linux-kernel-vulnerability-ssh-keysign-pwn/ Linux内核漏洞CVE-2026-46333（ssh-keysign-pwn）允许攻击者窃取SSH私钥和密码哈希，影响多个主流发行版。漏洞源于ptrace访问控制缺陷，利用进程退出时的短暂时间窗口窃取文件描述符。建议立即打补丁、轮换SSH密钥并监控敏感文件访问。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Turla将Kazuar改造为模块化P2P僵尸网络 https://www.microsoft.com/en-us/security/blog/2026/05/14/kazuar-anatomy-of-a-nation-state-botnet/研究人员发现Turla已将Kazuar后门改造为由三个模块组成的P2P僵尸网络，以提升隐蔽控制、任务分发韧性和长期驻留能力。该架构通过点对点通信替代或弱化传统中心化指挥控制模式，使受感染节点之间能够转发指令与数据，从而降低单点失效风险并增强抗侦测性。报道指出，此次改造的重点在于实现更隐蔽的C2通信、更稳健的任务下发机制，以及在受害环境中的持续访问能力，体现出相关威胁活动在模块化和持久化方向上的演进。 2、REMUS窃密木马加速演化并强化会话窃取 https://www.bleepingcomputer.com/news/security/inside-the-remus-infostealer-session-theft-maas-and-rapid-evolution/研究人员称，REMUS作为新兴信息窃取木马，正从单一恶意程序快速演变为高度商业化的恶意软件即服务平台。研究基于2026年2月12日至5月8日期间与该地下运营相关的128条帖子，显示其在数月内持续发布功能更新、运营优化和面向客户的支持内容，发展节奏类似正规软件产品。REMUS早期主打浏览器凭证、Cookie、Discord令牌窃取及Telegram投递，随后扩展到恢复令 3、伪装面试应用传播JobStealer恶意程序 https://hackread.com/fake-job-interview-jobstealer-malware-windows-macos/攻击者正利用伪装成求职面试软件的应用，在Windows和macOS系统上传播JobStealer恶意程序。该恶意软件的主要目标是窃取受害者设备中的敏感信息，包括加密货币钱包数据、浏览器中的账户与会话信息，以及保存的密码等。此类攻击借助求职和面试场景进行伪装，具有较强迷惑性，可能诱导用户主动下载安装恶意应用。报道表明，相关威胁同时影响主流桌面平台，显示出攻击者在跨平台投放和信息窃取方面的活跃趋势。 4、Exim关键漏洞可致远程代码执行 https://xbow.com/blog/dead-letter-cve-2026-45185-xbow-found-rce-exim开源邮件传输代理Exim曝出高危漏洞CVE-2026-45185，未认证远程攻击者在特定配置下可实现任意代码执行。该问题影响4.97至4.99.2版本中采用GnuTLS构建、并启用STARTTLS与CHUNKING通告的Exim实例，OpenSSL构建不受影响。漏洞本质为TLS关闭过程中处理BDAT分块SMTP流量时触发的释放后使用（UAF），可能导致向已释放内存写入数据。成功利用后，攻击者可在服务器上执行命令、访问Exim数据及邮件内容，并可能进一步横向移动 5、微软MDASH发现16个已修复的Windows漏洞 https://thehackernews.com/2026/05/microsofts-mdash-ai-system-finds-16.html微软披露，其新推出的MDASH人工智能系统发现了16个已在本月“补丁星期二”更新中修复的Windows漏洞。相关漏洞中包括两个可导致远程代码执行的高危问题，分别涉及IKEv2和TCP/IP组件。该消息表明，微软正在将AI能力应用于漏洞挖掘与安全防护流程，以辅助发现系统中潜在的高风险缺陷。现有信息主要指出漏洞数量、修复时间点以及其中两类关键受影响组件，未进一步公开每个漏洞的详细技术细节、利用条件或影响范围。 6、AvadaBuilder漏洞可致网站凭据被窃取 https://www.wordfence.com/blog/2026/05/1000000-wordpress-sites-affected-by-arbitrary-file-read-and-sql-injection-vulnerabilities-in-avada-builder-wordpress-plugin/WordPress插件Avada Builder曝出两处安全漏洞，可能导致任意文件读取和数据库敏感信息泄露，影响约100万活跃安装。其一为CVE-2026-4782，影响3.15.2及以下版本，具备至少订阅者权限的认证用户可借助shortcode渲染功能中的custom_s 7、三个node-ipc版本被发现含窃密后门代码 https://www.stepsecurity.io/blog/node-ipc-npm-supply-chain-attack三个node-ipc版本中被发现包含窃密程序和后门代码，可能导致开发者与云环境中的敏感信息被非法获取和外传。受影响内容主要涉及开发过程中常见的凭据、密钥及相关机密数据，这意味着使用相关版本的项目或构建环境可能面临供应链安全风险。该事件再次凸显开源依赖被植入恶意代码后，对开发流程、CI/CD 环境以及云资产安全带来的潜在威胁。对于依赖 node-ipc 的用户而言，应尽快核查所使用版本并评估暴露范围，及时采取替换、清理和凭据轮换等措施以降低风险。 8、本地部署Exchange漏洞遭恶意邮件利用 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-42897CVE-2026-42897正影响本地部署的Microsoft Exchange Server，攻击者可通过特制电子邮件对该漏洞进行利用。现有信息显示，此类邮件可被用于实施欺骗相关攻击，给企业邮件系统与通信可信度带来风险。报道强调该问题已处于被利用状态，因此受影响环境需要尽快采取缓解措施。对于仍运行本地Exchange服务器的组织而言，应立即核查资产与版本情况，关注微软后续安全通告与补丁信息，并结合邮件安全策略、日志监测和访问控制等手段降低被攻击面，避免威胁进 9、OpenClaw四个漏洞可被链式利用 https://www.cyera.com/blog/claw-chain-cyera-research-unveil-four-chainable-vulnerabilities-in-openclawOpenClaw 2026.4.22版本中存在四个被称为“Claw Chain”的安全漏洞。这些漏洞在单独存在时影响有限，但一旦被攻击者进行链式组合利用，可能造成更严重的安全后果，包括数据被窃取、权限提升以及在受影响系统中建立持久化控制。现有信息表明，问题集中于OpenClaw 2026.4.22版本，说明该版本用户面临较高风险。报道摘要未披露每个漏洞的具体技术细节、利用条件、受影响范围及修复 10、Ghostwriter借PDF钓鱼攻击乌克兰政府目标 https://www.welivesecurity.com/en/eset-research/frostyneighbor-fresh-mischief-digital-shenanigans/研究人员发现Ghostwriter在2026年3月针对乌克兰政府目标发起攻击，攻击链以PDF文件作为诱饵，并结合地理围栏技术提升命中率与隐蔽性。报道指出，该行动的最终目的是在受害环境中投放Cobalt Strike，这是一类常被用于后渗透控制、横向移动和维持访问的工具。现有信息表明，此次攻击主要面向乌克兰政府机构，体现出针对性较强的定向钓鱼特征。报道未披露更多关于诱饵内容、投递方式或受害范围的细节，但 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、伊朗黑客组织入侵韩国大型电子制造商 https://www.security.com/threat-intelligence/iran-seedworm-electronics 研究人员披露，与伊朗有关的黑客组织MuddyWater（又名Seedworm、Static Kitten）近期发起大范围网络间谍活动，目标覆盖多个国家和行业，其中包括一家韩国大型电子制造商、政府机构、中东一座国际机场、亚洲工业企业及教育机构。研究人员称，攻击者于2026年2月20日至27日在该韩国企业网络内活动约一周，疑似以情报搜集为导向，重点关注工业与知识产权窃取、政府间谍活动及获取下游客户或企业网络访问权限。此次行动大量使用DLL侧加载、Power 2、伪装援助文件的间谍软件行动曝光 https://cyble.com/blog/operation-humanitarianbait-infostealer-campaign/ 研究人员披露了一起名为“Operation HumanitarianBait”的网络攻击活动。该行动利用伪造的人道主义援助相关文档作为诱饵，面向俄语用户实施定向攻击。攻击链中，恶意载荷托管在GitHub平台，受害者在接触并打开相关诱饵文件后，可能进一步下载并执行后续程序。最终载荷为基于Python开发的间谍软件，说明攻击者具备利用常见开发语言和公开平台隐藏恶意活动的能力。现有信息表明，这是一场结合社会工程、远程托管载荷与信息窃取能力的攻击行动，重点在 3、新型TrickMo借助TON实现隐蔽控制 https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app 研究人员发现TrickMo安卓银行木马出现新变种，其一项关键变化是利用TON区块链基础设施进行隐蔽的命令与控制（C2）通信。按照披露信息，这种做法意在提升攻击活动的隐匿性，降低传统网络层面检测与拦截的效果。标题同时提到，该变种还结合SOCKS5能力，将受感染的安卓设备转化为网络代理支点，以便为后续流量转发或间接访问提供条件。现有内容重点说明了其通信与代 4、RubyGems因恶意包攻击暂停新用户注册 https://thehackernews.com/2026/05/rubygems-suspends-new-signups-after.html RubyGems因遭遇大规模恶意软件包上传事件，已暂停新用户注册。公开信息显示，此次攻击涉及数百个恶意包，被认为进一步加剧了软件供应链安全风险。RubyGems作为Ruby生态的重要软件包仓库，此类事件可能影响开发者对第三方依赖的获取与信任，也反映出开源包管理平台在账号注册、包审核和恶意内容拦截方面面临持续压力。目前已知信息主要集中在平台采取的应急措施以及攻击规模，原文未披露更详细的技术细节、影响范围或攻击者身份。 5、富士康确认北美工厂遭氮气勒索软件攻击 https://www.bleepingcomputer.com/news/security/electronics-giant-foxconn-confirms-cyberattack-on-north-american-factories/ 富士康向媒体证实，其北美部分工厂遭遇网络攻击，事件发生后公司已启动应急响应机制，并采取多项运营措施以保障生产和交付连续性，受影响工厂目前正逐步恢复正常生产。此次攻击被“氮气”勒索软件组织认领，该组织声称窃取了约8TB数据和超过1100万份文件，内容涉及机密指令、项目资料和图纸，并提及苹果、英特尔、谷歌、英伟达和AMD等客户。公开信息显示，Nitrog 6、西氏医药披露遭遇数据窃取与系统加密攻击 https://www.bleepingcomputer.com/news/security/west-pharmaceutical-says-hackers-stole-data-encrypted-systems/ 美国制药制造企业West Pharmaceutical Services披露，其遭遇一起重大网络安全事件，攻击者不仅从公司网络中窃取了部分数据，还加密了若干系统。公司称于2026年5月4日首次发现入侵，并在5月7日确认事件具有重大影响，随后启动事件响应流程，包括在全球范围内主动下线部分系统、通知执法部门，并聘请外部网络取证专家及Palo Alto Networks Unit 7、Windows DNS客户端漏洞可导致远程代码执行攻击 https://www.freebuf.com/articles/system/481157.html 微软Windows DNS客户端中新披露的一个漏洞可能让攻击者悄无声息地在企业网络中执行恶意代码，暴露出巨大的攻击面。该漏洞被正式编号为CVE-2026-41096，CVSS严重性评分高达9.8分（满分10分）。 8、MongoDB 高危漏洞可导致攻击者执行任意代码 https://www.freebuf.com/articles/database/481122.html 最新披露的 MongoDB 高危漏洞（CVE-2026-8053）可能使威胁攻击者执行任意代码，进而完全控制受影响服务器，导致数百万条记录面临泄露风险。该漏洞直接影响 MongoDB Server 的部署环境。 9、Veeam推出全新备份管理与网络安全功能 https://siliconangle.com/2026/05/12/veeam-introduces-new-backup-management-cybersecurity-features/ Veeam发布新功能强化数据备份与防护，旗舰产品Veeam Data Platform v13.1新增量子级加密和恶意软件扫描，DataAI Command Platform实现智能数据资产管理，提升企业韧性运营能力。 10、NGINX堆缓冲区溢出漏洞可导致远程代码执行 https://www.secrss.com/articles/90300 未经身份认证的攻击者可通过发送构造的 HTTP 请求触发漏洞，造成 Worker 进程崩溃，在特定环境下还可实现远程代码执行。官方修复NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞(CVE-2026-42945)，该漏洞源于处理特定 rewrite 指令时，由于内部标志位管理错误，导致堆缓冲区分配长度与实际写入长度不一致，从而引发堆缓冲区溢出。未经身份认证的攻击者可通过发送构造的 HTTP 请求触发漏洞，造成 Worker 进程崩溃，在特定环境下还可实现远程代码执行。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、伪造隐私过滤项目登顶HuggingFace下载榜 https://www.hiddenlayer.com/research/malware-found-in-trending-hugging-face-repository-open-oss-privacy-filter 一个冒充“OpenAI Privacy Filter”的恶意项目曾登上Hugging Face下载排行榜首位，并累计获得约24.4万次下载。该项目以看似正常的隐私过滤工具为幌子，实际向Windows用户传播信息窃取型恶意软件，可能导致受害者的凭据、会话令牌及其他敏感数据被盗。此事件表明，热门开源与AI模型托管平台同样可能被攻击者利用，通过伪装成受欢迎或可信工具来扩大传播范围 2、黑客滥用VercelGenAI批量生成钓鱼网站 https://hackread.com/hackers-exploit-vercel-genai-phishing-sites/ 攻击者正在滥用Vercel GenAI批量创建高仿真的钓鱼网站。这些页面可模仿微软、阿迪达斯、耐克等知名品牌的外观与风格，使诈骗页面更具迷惑性，也让普通用户更难通过视觉特征识别风险。报道指出，此类生成式AI工具被不法分子利用后，可能显著降低搭建钓鱼站点的门槛，并提升伪造页面的制作效率与可信度，从而扩大网络钓鱼攻击的影响范围。该现象反映出生成式AI在便利开发的同时，也带来了新的安全滥用风险。 3、Shai-Hulud供应链攻击污染数百软件包 https://www.endorlabs.com/learn/shai-hulud-compromises-the-tanstack-ecosystem-80-packages-compromised Shai-Hulud供应链攻击已影响npm与PyPI上的数百个软件包，目标直指开发者凭证。攻击者被指与TeamPCP有关，先后入侵TanStack、Mistral AI、Guardrails AI、UiPath、OpenSearch等项目，并利用被窃取的CI/CD凭证发布恶意版本。此次攻击尤其危险之处在于，恶意包通过合法流水线发布，携带有效的OIDC身份、SLSA Build Level 3 4、Signal新增应用内警示以防社交工程攻击 https://www.bleepingcomputer.com/news/security/signal-adds-security-warnings-for-social-engineering-phishing-attacks/ Signal宣布在应用内新增确认提示和警告信息，以加强对网络钓鱼和社交工程攻击的防护，降低用户因外部请求受骗的风险。此举背景是近期多起针对高知名度用户的攻击事件，攻击者冒充“Signal支持”发送虚假警报，诱导受害者扫描二维码或提供一次性验证码，从而滥用“关联设备”功能访问账号、聊天记录和联系人列表。相关事件已被FBI、荷兰政府和德国有关部门披露，并归因于俄罗 5、斯柯达网店遭入侵致客户数据泄露 https://www.skoda-auto.de/unternehmen/sicherheitsvorfall-skoda-shop 大众集团旗下汽车制造商斯柯达披露，其在线商店因电商门户所用标准软件存在未说明漏洞而遭攻击，导致不明数量客户的个人信息被未授权访问。公司表示，受影响数据包括姓名、地址、电子邮件、电话号码、订单信息，以及登录凭据中的邮箱地址和密码加密哈希；完整信用卡信息未存储在被攻破系统中，因此攻击者无法直接获取。斯柯达称已修复相关漏洞，向数据保护监管机构报告事件，并交由专业IT取证团队开展技术分析。尽管目前没有证据表明被窃取的访问数据已被滥用，斯柯达仍提醒受影响客户警惕冒充其 6、谷歌推出AI驱动的Android移动安全增强方案 https://cybersecuritynews.com/google-enhances-android-mobile-security/ Android面临复杂威胁，谷歌推出AI主动防御体系，包括实时威胁检测、设备丢失保护和隐私控制升级，从被动修复转向主动拦截，防止诈骗和数据窃取。 7、Microsoft Teams 漏洞可导致黑客实施欺骗攻击 https://cybersecuritynews.com/microsoft-teams-vulnerability-spoofing/ 微软Teams曝高危漏洞(CVE-2026-32185)，攻击者可伪造本地设备进行欺骗攻击，影响数据机密性。已发布Android版修复补丁，建议用户立即更新，企业环境需优先处理。 8、Fortinet修复FortiSandbox与FortiAuthenticator高危漏洞 https://securityaffairs.com/192047/security/critical-fortinet-vulnerabilities-fixed-in-fortisandbox-and-fortiauthenticator.html Fortinet修复了FortiSandbox和FortiAuthenticator的高危漏洞（CVE-2026-44277和CVE-2026-26083），攻击者可远程执行任意代码，需升级至指定版本。目前未发现利用情况。 9、微软2026年5月补丁日：修复120个漏洞，含29个高危RCE漏洞 https://cybersecuritynews.com/microsoft-patch-tuesday-may-2026/ 微软2026年5月补丁修复120个漏洞，含29个高危RCE漏洞，重点涉及Windows核心网络、Office、Azure及AI工具，虽无0Day但风险高，需优先修补Dynamics 365、SharePoint及DNS等关键组件。 10、虚假Claude Code安装程序利用浏览器凭证窃取工具锁定开发者 https://hackread.com/fake-claude-code-installer-devs-browser-credential-stealer/ 攻击者伪造Claude Code安装页面，诱骗开发者下载恶意脚本窃取浏览器密钥，利用IElevator2接口解密数据，属于新型持续性攻击。建议启用脚本日志监控异常调用，采用凭证轮换降低风险。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Pwn2OwnBerlin2026因报名爆满遭拒黑客集体公开0Day漏洞 https://www.freebuf.com/articles/ai-security/480925.html 全球最著名的黑客竞赛正面临始料未及的危机。据报告，由趋势科技旗下Zero Day Initiative（ZDI）主办的Pwn2Own Berlin 2026赛事在举办19年来首次出现名额爆满情况。这项实时挖掘0Day漏洞的专家竞赛，实际可容纳的黑客数量已达到硬性上限。被拒之门外的数十名研究者正发起被称为"报复性披露"的行动。xchglabs团队本准备了86个针对NVIDIA、Docker、Linux KVM和PyTorch等系统的漏洞，在无缘角逐100万美元奖金池后，他们选择直接 2、Windows 11遭新型BitUnlocker降级攻击：5分钟内可解密加密磁盘 https://www.freebuf.com/articles/system/480862.html 一款名为BitUnlocker的新工具曝光了针对微软BitLocker加密的降级攻击手法。攻击者通过利用补丁更新与证书吊销之间的关键时间差，可在5分钟内物理破解已打补丁的Windows 11设备上的加密卷。该攻击源于微软安全测试与攻防研究团队（STORM）发现的四个关键0Day漏洞之一（CVE-2025-48804），已于2025年7月补丁星期二修复。 3、可远程获取Shell的Android零点击漏洞PoC利用代码公开 https://www.freebuf.com/articles/480859.html 谷歌在2026年5月的Android安全公告中披露了一个潜藏在Android系统核心的灾难性零点击漏洞，这对移动安全领域造成了严重冲击。编号为CVE-2026-0073的漏洞存在于Android的adbd守护进程中，允许附近的威胁行为者在无需用户交互的情况下远程获取完整Shell访问权限。 4、cPanel与WHM发布三个新漏洞修复补丁—请立即更新 https://thehackernews.com/2026/05/cpanel-whm-patch-3-new-vulnerabilities.html cPanel修复三个高危漏洞（CVE-2026-29201/2/3），涉及权限提升、代码执行和拒绝服务，建议用户立即升级至指定版本。漏洞可能被武器化，需紧急修补以防攻击。 5、TrickMo安卓木马借助TON隐藏通信 https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app ThreatFabric发现TrickMo安卓银行木马出现新变种“Trickmo.C”，自今年1月起持续被跟踪。该恶意软件伪装成TikTok或流媒体应用，主要针对法国、意大利和奥地利用户的网银账户及加密货币钱包。其最新变化是将The Open Network（TON）用于隐蔽的命令与控制通信，通过设备内嵌的本地TON代理和.adnl地址与操作者连接，借 6、CheckmarxJenkins插件遭投毒发布窃密版本 https://checkmarx.com/blog/ongoing-security-updates/ Checkmarx披露，其官方Jenkins AST插件在Jenkins Marketplace上曾被发布恶意篡改版本，版本号为2026.5.09。该事件被认为与TeamPCP黑客组织有关，攻击者据称利用此前在Trivy供应链攻击中窃取的凭证进入Checkmarx的GitHub环境，并向部分制品发布恶意代码。这是该公司自3月底以来遭遇的第三起相关供应链事件。Checkmarx表示，恶意版本并未经过正常发布流程，且缺少对应git标签和GitHub Release，建议用户仅使用2025年1 7、GhostLock利用Windows文件API锁定访问 https://zenodo.org/records/20070064 安全研究员Kim Dvash发布了名为GhostLock的概念验证工具，展示攻击者如何滥用Windows合法文件接口CreateFileW及其共享模式参数，阻止本地或SMB网络共享中的文件被其他用户和应用打开。其核心做法是将dwShareMode设为0，以独占方式打开文件，在句柄持续存在期间触发“共享冲突”错误，从而造成访问中断。该工具可递归锁定SMB共享中的大量文件，且普通域用户无需提权即可实施。如果攻击者从多台受控设备同时发起并持续重新获取句柄，影响会进一步扩大。研究人员指出，这更接近干扰性拒绝服务攻击而非勒索破坏； 8、Linux内核维护者提议引入"紧急禁用开关"应对0Day漏洞空窗期 https://www.freebuf.com/articles/system/480774.html Linux 服务器管理员或将获得在操作系统内核中临时禁用漏洞功能的能力——前提是开源社区采纳内核开发者提出的这项建议。该机制可在 0Day 漏洞补丁发布前作为临时防护措施。 9、美国头部车企通用汽车因违规出售用户数据被罚近9000万 https://www.secrss.com/articles/90184 通用汽车因未经用户同意，收集存储驾驶数据并出售给数据经纪商，因此获利约1.36亿元，数十万美国公民的隐私权益受损，因此被罚近9000万元，为加州消费者隐私法案生效以来的最大罚单。 10、Hugging Face惊现供应链投毒：仿冒OpenAI仓库窃取开发者敏感数据 https://www.secrss.com/articles/90164 2026年5月7日，安全研究机构 HiddenLayer 披露了一起针对 AI 开发社区的供应链投毒攻击事件。攻击者在 Hugging Face 平台创建恶意仓库 Open-OSS/privacy-filter，通过 typosquatting 技术冒充 OpenAI 官方 "Privacy Filter" 项目，成功进入平台趋势榜榜首位置。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、黑客借谷歌广告和Claude聊天传播Mac恶意软件 https://www.linkedin.com/posts/brkalbyrk7_macsync-ugcPost-7459229553027088384-7UXy/ 研究人员发现攻击者正在利用谷歌搜索广告和Claude.ai共享聊天功能，向Mac用户投递恶意软件。用户搜索“Claude mac download”时，可能看到指向真实claude.ai域名的赞助结果，但进入后会遇到伪装成“Apple Support”发布的安装指导，诱导其在终端粘贴命令。研究人员发现，不同共享聊天页面虽使用独立基础设施与载荷，但社会工程话术高度一致。相关脚本可在内存中运行，并通过多态投递规避基于哈希的检测；部 2、黑客诱骗DigiCert签发恶意软件签名证书 https://hackread.com/hackers-digicert-issue-certificates-sign-malware/ DigiCert在发现证书被滥用于恶意软件签名后，已撤销60张代码签名证书。事件起因是攻击者通过恶意支持聊天附件实施欺骗，诱使相关流程签发可用于代码签名的证书，随后这些证书被用于为Zhong Stealer恶意软件进行签名。代码签名证书通常用于验证软件来源和完整性，一旦被攻击者获取并用于恶意程序，可能提升恶意样本的伪装性与可信度，从而增加传播和绕过安全检测的风险。此次事件反映出证书签发与支持流程可能成为攻击目标，也提示企业需要加强审核、附件处理和证书滥 3、虚假通话记录应用在Play商店窃取用户付款信息 https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/ 网络安全研究人员在官方的Google Play安卓应用商店中发现了欺诈性应用程序，这些应用程序谎称可以访问任何电话号码的通话记录，但实际上却是诱骗用户加入订阅服务，而这些订阅服务提供的却是虚假数据，最终导致用户遭受经济损失。这28款应用在被官方应用商店下架前，累计下载量超过730万次，其中一款应用的下载量就超过300万次。这项由斯洛伐克网络安全公司ESET代号为“C 4、两名美国男子因协助朝鲜黑客渗透美企获刑 https://hackread.com/us-men-sentenced-north-korean-hackers-hack-us-firms/ Matthew Knoot和Erick Prince因协助朝鲜黑客渗透美国企业，被分别判处18个月监禁。报道指出，两人通过搭建和运营“远程笔记本电脑农场”的方式，为相关人员提供进入美国公司网络环境的条件，从而帮助其隐藏真实身份并实施渗透活动。此案反映出，利用本地设备和远程接入手段掩饰来源、规避审查，已成为针对企业渗透行动中的重要辅助模式。案件结果也显示，美国司法部门正持续打击为朝鲜黑客活动提供支持的个人与网络基础设施。 5、德国警方再度打掉Crimenetwork平台并逮捕管理员 https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2026/Presse2026/260508_PM_Crimenetwork.html?utm_source=BC 德国执法部门宣布关闭重启版网络犯罪交易平台Crimenetwork，并在西班牙马略卡逮捕一名35岁德国籍嫌疑人。该平台自2012年起长期活跃，曾是德国最大的网络犯罪市场之一，提供非法服务、违禁品和被盗数据交易。2024年末，德国法兰克福检方、网络犯罪打击中心和联邦刑警局已查封原平台并抓获一名管理员，但数日后其以新基础设施重新上线。警方称，新版本迅速聚集约2.2 6、Ollama越界读取漏洞可致远程内存泄露 https://thehackernews.com/2026/05/ollama-out-of-bounds-read-vulnerability.html Ollama在0.17.1之前版本存在一项严重的越界读取漏洞。攻击者可通过构造恶意GGUF文件触发该问题，从而远程读取进程内存内容，造成敏感信息泄露。泄露数据可能包括API密钥等机密信息。报道指出，受影响的暴露服务器规模超过30万台，风险范围较广。该漏洞的核心影响在于模型文件处理过程中发生越界读取，使原本不应被访问的内存内容被返回或暴露。对于正在使用旧版本Ollama并加载来自不可信来源GGUF文件的环境，应尽快升级至0.17.1或更高 7、JDownloader下载器遭入侵，用户被植入远控木马 https://cybersecuritynews.com/jdownloader-downloader-hacked/ 知名开源软件JDownloader遭供应链攻击，官网下载链接被替换为携带Python远程木马的恶意文件。攻击持续两天，木马具备持久性后门功能，能执行任意代码。建议受影响用户重装系统，未运行文件需验证数字签名。 8、Ivanti终端管理器移动版曝出五个新漏洞 其中一处已被利用 https://www.csoonline.com/article/4169001/five-new-holes-one-exploited-found-in-ivanti-endpoint-manager-mobile.html 专家警告Ivanti移动终端管理方案存在五处高危漏洞，其中一处已被利用，需立即修补并轮换凭证。建议淘汰传统本地安全方案，转向现代防御体系，强调零信任模型的重要性。 9、新型PamDOORa后门攻击Linux系统窃取SSH凭证 https://cybersecuritynews.com/new-pamdoora-backdoor-attacking-linux-systems/ PamDOORa后门通过劫持Linux的PAM框架窃取SSH凭证，利用pam_exec模块绕过监控，具备反取证能力。需加强SELinux、禁用SSH root登录并监控系统文件变更以防御。 10、ODINI恶意软件利用CPU磁场辐射突破法拉第笼隔离的计算机 https://cybersecuritynews.com/odini-malware-air-gapped-computers/ ODINI恶意软件通过操控CPU负载产生低频磁场，穿透法拉第笼窃取气隙隔离计算机数据，传输速率达40比特/秒。防御需特殊屏蔽或信号干扰，最可靠措施是禁止附近使用电子设备。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、TCLBanker木马借WhatsApp和Outlook自传播 https://www.elastic.co/security-labs/tclbanker-brazilian-banking-trojan 研究人员披露一种新型银行木马TCLBanker。该恶意程序通过伪装成Logitech AI Prompt Builder的MSI安装包入侵系统，并利用DLL侧载在合法进程中运行，以规避安全产品检测。TCLBanker目前主要针对巴西用户，会检查时区、键盘布局和区域设置，瞄准59个银行、金融科技和加密货币平台。其具备反分析和反调试能力，可识别多种安全研究工具，并在受害者访问目标网站时通过WebSocket与C2通信，配合覆盖层实施虚假登录、PIN输入、 2、Google修复GeminiCLI高危远程执行漏洞 https://www.pillar.security/blog/my-agentic-trust-issues-from-prompt-injection-to-supply-chain-compromise-on-gemini-cli Google已修复Gemini CLI中的一处CVSS 10级高危漏洞。根据报道，攻击者可结合提示注入与权限提升手法，借助GitHub Issue相关交互链路触发远程代码执行，进而影响开发流程与依赖供应链安全。该问题的风险在于，一旦利用成功，攻击者可能从命令行工具入口扩大控制范围，最终造成完整的供应链妥协。报道强调，此次漏洞与GitHub Issue场景有 3、英伟达确认亚美尼亚GeForceNOW数据泄露 https://www.bleepingcomputer.com/news/security/nvidia-confirms-geforce-now-data-breach-affecting-armenian-users/ 英伟达向媒体证实，GeForce NOW发生用户信息泄露事件，但影响范围仅限于亚美尼亚，由当地联盟合作伙伴运营的基础设施遭入侵所致，英伟达自有网络和其直接运营服务未受影响。英伟达表示，受影响用户将由当地运营方GFN.am通知。GFN.am披露，该网络安全事件发生于3月20日至26日，泄露信息包括部分用户资料，但未涉及账户密码，且3月9日之后注册的用户不受影响。此前有名为 4、JDownloader官网遭入侵投放恶意安装包 https://jdownloader.org/incident_8.5.2026.html?v=20260508277000 研究人员发现JDownloader官方网站于2026年5月6日至7日期间遭攻击者入侵，下载链接被篡改，导致Windows“替代安装器”和Linux shell安装器指向恶意载荷，形成供应链攻击。开发团队表示，攻击者利用一个未修补漏洞，在未获认证的情况下修改了网站CMS中的访问控制列表和页面内容，但未取得底层服务器或操作系统权限。研究人员分析发现，Windows恶意程序会投放经过混淆的Python远控木马，可从C2服务器接收并执行代码；Linux安装脚本则被植入恶意代 5、恶意HuggingFace仓库冒充OpenAI投递窃密木马 http://www.hiddenlayer.com/insight/malware-found-in-trending-hugging-face-repository-open-oss-privacy-filter 研究人员发现一个名为Open-OSS/privacy-filter的恶意Hugging Face仓库冒充OpenAI“Privacy Filter”项目，曾短暂登上平台热门榜首，并在下架前累计约24.4万次下载。该仓库复制了正版项目说明，并通过loader.py伪装为正常AI代码，实则在Windows系统上关闭SSL验证、下载并执行包含PowerShell命令的载荷，进一步获取 6、新型Linux PamDOORa后门利用PAM模块窃取SSH凭证 https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web 网络安全研究人员披露了一个名为PamDOORa的新型Linux 后门的详细信息，该后门由一个名为“darkworm”的威胁行为者在Rehub俄罗斯网络犯罪论坛上以1600美元的价格出售。该后门程序被设计成一个基于可插拔认证模块（PAM）的后渗透工具包，它通过一个特殊的密码和特定的TCP端口组合来实现持久的SSH访问。它还能窃取所有通过受感染系统进行身份验证的合法用户的凭据。这款名为PamDOORa的工具是一种基于P 7、IvantiEPMM高危漏洞正遭在野利用 https://hub.ivanti.com/s/article/May-2026-Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-Multiple-CVEs?language=en_US Ivanti Endpoint Manager Mobile（EPMM）中的远程代码执行漏洞CVE-2026-6973已在有限范围内遭到攻击者利用，且可带来管理员级访问权限，风险较高。美国网络安全和基础设施安全局（CISA）已要求相关机构在2026年5月10日前完成修复，进一步提升了该问题的处置紧迫性。现有信息显示，此次利用活动规模尚有限，但由于 8、伪造macOS故障排查页面诱导窃取iCloud数据 https://hackread.com/fake-macos-troubleshooting-sites-steal-icloud-clickfix/ 研究人员发现一种新的ClickFix攻击正针对macOS用户展开。攻击者在Medium和Craft等平台发布伪造的故障排查指南，利用用户寻求系统问题解决方案的心理，诱导其在终端中执行恶意命令。相关命令会部署AMOS和SHub Stealer等信息窃取恶意程序，从而收集受害者设备上的敏感数据。根据标题信息，此次活动还涉及窃取iCloud相关数据，说明攻击目标可能包括账号凭证、会话信息或云端同步内容。该手法结合了社工诱导与终端执行，绕过传统下载 9、cPanel与WHM修复三个高危安全漏洞 https://thehackernews.com/2026/05/cpanel-whm-patch-3-new-vulnerabilities.html The cPanel已发布安全更新，修复cPanel与WHM中的三个新漏洞。其中两项漏洞的CVSS评分为8.8，属于高危级别，可能带来代码执行和权限提升风险。此次补丁旨在降低相关系统被攻击者利用的可能性，减少对服务器管理环境和托管服务的安全威胁。由于这些漏洞影响核心管理组件，使用cPanel和WHM的运维人员与服务提供商应尽快完成更新与补丁部署，并结合现有安全策略开展检查，以降低潜在入侵和系统被控风险。 10、知名打车应用Yango因跨境传输数据违规被罚8亿元 https://www.secrss.com/articles/90144 欧洲数据保护机构已对打车应用Yango的运营公司MLU B.V.处以1亿欧元（约合人民币8.01亿元）罚款。此前调查发现，该公司在未采取欧盟法律规定保护措施的情况下，将出租车用户的个人数据传输至俄罗斯。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、PCPJack蠕虫窃取云凭证并清除TeamPCP感染 https://www.sentinelone.com/labs/cloud-worm-evicts-teampcp-and-steals-credentials-at-scale/ 研究人员披露新型恶意框架PCPJack正针对暴露在公网的云基础设施发起攻击，主要目标包括Docker、Kubernetes、Redis、MongoDB、RayML及存在漏洞的Web应用。该恶意程序通过bootstrap.sh感染Linux云系统，部署后会创建隐藏目录、安装依赖、下载模块并建立持久化。其突出特征是会主动检查并清除TeamPCP相关进程、服务、容器、文件和持久化机制，从而独占受害主机。研究人员称，P 2、基于Mirai的xlabs_v1僵尸网络借ADB劫持物联网设备 https://hunt.io/blog/xlabs-v1-ddos-for-hire-operation-exposed#Infrastructure_Analysis 研究人员发现名为xlabs_v1的僵尸网络基于Mirai变种，正利用Android Debug Bridge（ADB）默认使用的5555端口入侵并招募物联网设备，将其纳入攻击基础设施。该恶意网络在控制受感染设备后，可发起多达21种DDoS攻击方式，并支持按照带宽层级组织攻击资源。报道指出，其主要用途之一是针对游戏服务器实施分布式拒绝服务攻击，以提升攻击效率和持续性。现有信息表明，这一活动凸显了暴露ADB服务的物联网设备面临 3、恶意PyPI包借助Zulip接口传播ZiChatBot木马 https://securelist.com/oceanlotus-suspected-pypi-zichatbot-campaign/119603/ 2025年7月有3个上传至PyPI的软件包被用于传播ZiChatBot恶意程序，攻击目标涵盖Windows和Linux系统。该恶意代码的一项关键特征是将Zulip的API用作命令与控制（C2）通道，从而借助正常网络服务掩护通信行为，提升隐蔽性并增加检测难度。此事件再次表明，开源软件仓库供应链正持续成为攻击者投放恶意载荷的重要渠道。对于开发者和企业而言，应加强对第三方依赖包的来源审查、版本变更监控与安装前检测，降低因引入恶意包而导致系统受害的风 4、vm2严重沙箱逃逸漏洞可致主机执行任意代码 https://github.com/patriksimek/vm2/security/advisories/GHSA-ffh4-j6h5-pg66 Node.js沙箱库vm2被披露存在严重漏洞CVE-2026-26956，可导致攻击者逃逸沙箱并在宿主机上执行任意代码。该问题已确认影响vm2 3.10.4，较早版本也可能受影响，且公开了概念验证代码。通告称，漏洞影响启用了WebAssembly异常处理和JSTag支持的Node.js 25环境，已在Node.js 25.6.1上确认。漏洞根因是vm2在处理沙箱与宿主环境之间的异常时存在缺陷，攻击者可借此让宿主侧错误对象泄露回沙箱，并进一步恢复 5、PaloAltoPAN-OS漏洞正被利用致远程执行 https://security.paloaltonetworks.com/CVE-2026-0300 Palo Alto Networks的PAN-OS出现编号为CVE-2026-0300的安全漏洞，攻击者可通过暴露在公网的PAN-OS门户发起利用，在目标防火墙设备上实现以root权限执行任意代码。信息显示，该漏洞在2026年5月13日补丁发布前就已被实际利用，说明其具有较高现实威胁。现有内容指出，受影响场景与公开可访问的 PAN-OS门户有关，但未提供更多技术细节、影响版本范围或攻击链说明。 6、Apache修复可致拒绝服务与潜在RCE的HTTP/2漏洞 https://httpd.apache.org/docs/current/mod/mod_http2.html Apache已修复HTTP/2组件中的严重漏洞CVE-2026-23918。该漏洞被描述为双重释放问题，可能被攻击者利用，导致目标服务发生拒绝服务，并存在进一步实现远程代码执行（RCE）的潜在风险。受影响对象为Apache HTTP Server 2.4.66版本用户。根据披露信息，此次问题集中在HTTP/2相关处理逻辑，说明在特定条件下内存管理缺陷可能被触发，从而影响服务稳定性与安全性。 7、 Linux内核Dirty Frag本地提权漏洞影响主流发行版 https://thehackernews.com/2026/05/linux-kernel-dirty-frag-lpe-exploit.html Linux内核曝高危漏洞Dirty Frag，可本地提权至root，影响多数发行版。该漏洞结合xfrm-ESP和RxRPC漏洞，无需竞争条件，成功率极高。建议临时禁用相关模块esp4、esp6和rxrpc。 8、Ollama漏洞暴露AI框架无限制访问：30万台服务器面临风险 https://www.csoonline.com/article/4168584/ollama-vulnerability-highlights-danger-of-ai-frameworks-with-unrestricted-access.html Ollama框架存在高危漏洞Bleeding Llama（CVE-2026-7482），可致30万台服务器内存数据泄露，包括敏感信息和API密钥。攻击者通过特制文件触发堆越界读取，仅需三次API请求即可窃取数据。建议立即升级至0.17.1版本，部署防护措施并轮换密钥。 9、黑客利用虚假Claude AI网站传播新型Beagle后门程序 https://hackread.com/hackers-fake-claude-ai-site-infect-beagle-malware/ 黑客利用虚假Claude AI网站传播新型Beagle后门，通过恶意广告和SEO投毒诱骗用户下载含恶意软件的压缩包，采用DLL旁加载技术绕过检测。攻击者使用Cloudflare和阿里云隐藏行踪，建议仅从官方渠道下载软件并警惕可疑链接。 10、ShinyHunters黑客组织篡改Canvas LMS门户 全球数千所高校受影响 https://hackread.com/shinyhunters-defaces-canvas-lms-portal-universities-affected/ 黑客组织ShinyHunters攻击Canvas LMS平台，篡改高校登录页面勒索数据，影响全球近9000家机构。泄露信息含姓名、邮箱等，但未涉及敏感数据。平台故障严重影响教学，高校警惕后续钓鱼攻击。Instructure正调查事件范围。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、VECT2.0勒索软件因缺陷致数据永久损毁 https://research.checkpoint.com/2026/vect-ransomware-by-design-wiper-by-accident/ 研究人员发现VECT 2.0勒索软件存在致命缺陷，会在加密或破坏文件的过程中造成不可逆的数据损毁，导致受害者即使支付赎金也无法恢复文件。这意味着该家族不仅实施勒索，还因其实现问题使数据恢复路径被彻底切断，进一步加剧受害组织和个人的损失。报道指出，赎金支付在此情况下失去实际意义，受害者难以通过攻击者提供的方式取回数据。此类事件再次表明，面对勒索软件威胁，依赖离线备份、分层防护、及时修补和应急响应机制，比事后支付赎金更为关键。 2、钓鱼活动借助远程管理工具波及80余家机构 https://www.securonix.com/blog/venomous-helper-phishing-campaign 自2025年4月起，一个名为VENOMOUS#HELPER的网络钓鱼活动持续活跃，已影响80多家组织，受害对象主要位于美国。该活动在诱饵设计上使用与美国社会保障局（SSA）相关的主题，以提高邮件或消息内容的可信度并诱导目标上当。报道指出，攻击者在行动中利用了SimpleHelp和ScreenConnect两款远程监控与管理（RMM）工具。现有信息主要表明其攻击范围、所用社工主题以及涉及的工具类型，未进一步披露更完整的入侵链、具体受害行业分布或后续影响细节。 3、Vimeo因Anodot供应链事件泄露11.92万人信息 https://www.bleepingcomputer.com/news/security/vimeo-data-breach-exposes-personal-information-of-119-000-people/ 视频平台Vimeo因第三方数据异常检测公司Anodot发生安全事件，导致用户和客户数据被未授权访问。Have I Been Pwned对泄露数据分析后称，此次事件共暴露119,200人的邮箱地址，部分记录还包含姓名。Vimeo此前表示，被访问的数据主要涉及技术数据、视频标题和元数据，以及部分客户邮箱地址，不包括视频内容、有效登录凭证和支付卡信息，平台服务也未受到中断。该 4、MuddyWater伪装Chaos勒索掩护间谍攻击 https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/ 研究人员发现伊朗背景黑客组织MuddyWater在一次入侵中伪装成Chaos勒索软件攻击，实际更像是网络间谍活动而非单纯牟利。攻击者通过Microsoft Teams实施社工，与员工建立聊天和屏幕共享，诱导受害者泄露凭据、调整多因素认证设置，并在部分场景部署AnyDesk实现远程访问。得手后，攻击者进一步访问内部系统和域控，借助RDP、DWAgent、AnyDesk维持持久化，并投放伪装成Mic 5、DAEMONTools官方安装包遭供应链投毒 https://securelist.com/tr/daemon-tools-backdoor/119654/ DAEMON Tools自2026年4月8日起发生供应链攻击，官方签名安装程序被植入恶意代码。由于受影响样本仍带有合法签名，攻击具备较强隐蔽性，可能使用户在下载安装官方软件时误装恶意程序。报道指出，此次事件可被用于面向全球目标的定向恶意载荷投递，说明攻击者可能借助可信分发链路扩大影响范围。目前已知关键信息包括受影响时间点、被篡改对象为官方安装器，以及其可支持针对性投放；原文未进一步披露具体恶意软件家族、受害规模及修复进展。 6、DataDome披露超大规模低速DDoS攻击事件 https://hackread.com/low-and-slow-ddos-attack-hits-2-45-billion-5-hours/ DataDome研究人员发现一起大规模“低速且持续”DDoS攻击事件。此次攻击在5小时内累计发出24.5亿次请求，动用了约120万个IP地址，显示出较强的分布式特征。与传统以瞬时高流量压垮目标的攻击方式不同，“低速”DDoS通常通过持续、分散且更难被快速识别的请求对平台造成压力，可能影响业务可用性与防护系统判断。现有信息主要披露了攻击规模、持续时间和参与的IP数量，未进一步说明受影响平台名称、攻击来源归属及最终影响范围。 7、谷歌搜索广告钓鱼瞄准GoDaddy旗下ManageWP账户 https://www.bleepingcomputer.com/news/security/hackers-abuse-google-ads-for-godaddy-managewp-login-phishing/ 研究人员发现一场通过谷歌赞助搜索结果投放的钓鱼活动正在针对GoDaddy旗下ManageWP平台用户。攻击者在“managewp”搜索结果中投放高仿链接，并采用对手中间人（AiTM）方式，将伪造登录页作为受害者与真实ManageWP服务之间的实时代理，实时窃取账号、密码及随后输入的双因素认证代码。研究人员指出，ManageWP常被开发者、网站代理商和企业用于集中管理多站点，而其 8、思科修复可致设备需手动重启的拒绝服务漏洞 https://www.bleepingcomputer.com/news/security/new-cisco-dos-flaw-requires-manual-reboot-to-revive-devices/ 思科发布安全更新，修复影响Crosswork Network Controller（CNC）和Network Services Orchestrator（NSO）的高危拒绝服务漏洞CVE-2026-20188。该漏洞源于对入站网络连接的速率限制不足，未经身份验证的远程攻击者可通过低复杂度攻击耗尽连接资源，导致系统失去响应，影响合法用户及依赖服务。根据思科说明，受攻击设备在出现故障 9、泛微E-cology调试接口漏洞正被利用 https://nvd.nist.gov/vuln/detail/CVE-2026-22679 泛微E-cology存在编号为CVE-2026-22679的远程代码执行漏洞，且已被攻击者实际利用。该问题出现在2026年3月12日之前的相关版本中，攻击者可通过调试接口发起利用，进而在目标系统上执行任意代码，导致服务器被入侵和系统失陷。现有信息表明，此次攻击路径与暴露的调试端点有关，风险影响较为直接。对于使用受影响版本的机构而言，应尽快核查系统版本与调试接口暴露情况，并关注厂商后续安全更新与缓解建议，以降低被攻击和横向渗透的风险。 10、Apache HTTP Server漏洞致数百万服务器面临远程代码执行攻击风险 https://cybersecuritynews.com/apache-http-server-rce/ Apache发布HTTP Server关键安全更新，修复五个漏洞，包括高危双重释放漏洞（CVE-2026-23918，CVSS 8.8），可导致远程代码执行。建议所有2.4.66及更早版本用户立即升级至2.4.67。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。