1、越南黑客大规模部署PXA Stealer木马 https://www.sentinelone.com/labs/ghost-in-the-zip-new-pxa-stealer-and-its-telegram-powered-ecosystem/ Beazley Security与SentinelOne联合报告称，越南语黑客正通过PXA Stealer木马发起新一轮攻击，已感染全球62国逾4000个IP地址，窃取超20万个密码与400万浏览器Cookie。该木马以Python编写，具备提取浏览器数据、加密货币钱包信息及VPN配置等功能，并通过Telegram渠道将数据传回，用于在地下平台销售。攻击者利用DLL侧载、诱饵文档等手法隐藏恶 2、黑客滥用Microsoft 365发送内部钓鱼邮件 https://hackread.com/hackers-microsoft-365-direct-send-internal-phishing-emails/ Proofpoint最新报告揭示，攻击者正滥用Microsoft 365的“Direct Send”功能，通过未加固的SMTP中继系统发送仿冒内部邮件的钓鱼攻击。这类邮件伪装为来自同事的正常业务通知，主题包括“任务提醒”“语音留言”等，诱导员工点击。攻击者利用暴露的通信端口及伪造的DigiCert证书，使邮件看似可信，甚至绕过部分安全检测进入垃圾箱。该攻击突显出云服务滥用的安全隐患，专家建议组织加强邮件认证机制，并在不必要时禁用Di 3、EPI PDF实为伪装浏览器违反PUP政策 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/think-before-you-click-epi-pdfs-hidden-extras/ McAfee最新报告指出，名为EPI PDF Editor的免费PDF工具实为伪装浏览器，违反其PUP（潜在有害程序）政策。该软件通过捆绑安装方式，在未经用户明确同意下修改浏览器设置、引入扩展程序，并隐蔽地安装基于Chromium的浏览器EPIbrowser。尽管界面宣称支持PDF编辑功能，实则无法执行，具有明显欺骗性。分析发现其安装路径异常、名称模糊，卸载入口也以EPI Browser显示。M 4、Google AI首次独立发现20个安全漏洞 https://techcrunch.com/2025/08/04/google-says-its-ai-based-bug-hunter-found-20-security-vulnerabilities/ Google宣布，其由DeepMind与Project Zero团队联合研发的AI漏洞研究工具“Big Sleep”首次独立发现20个开源软件漏洞，涉及FFmpeg、ImageMagick等常用组件。尽管具体细节尚未公开，但所有漏洞均由AI自主识别与复现，后由专家审查提交，标志AI在自动化漏洞挖掘领域迈出关键一步。Google工程副总裁称此举展示了漏洞发现的全新边界。随着RunSybi 5、思科遭遇黑客攻击：攻击者窃取思科官网注册用户资料 https://cybersecuritynews.com/cisco-hacked-users-data/ 思科遭语音钓鱼攻击，员工被诱骗致用户基本资料泄露，涉及姓名、邮箱等，但未影响密码或机密数据。公司已终止攻击并加强防御，强调将从中学习提升安全韧性。 6、趋势科技Apex One曝出高危命令注入漏洞，攻击活动已被发现 https://securityonline.info/critical-command-injection-flaws-in-trend-micro-apex-one-actively-exploited/ 趋势科技Apex One管理控制台曝两个高危命令注入漏洞（CVE-2025-54948/54987），CVSS 9.4分，已被黑客利用，可远程执行任意代码。临时修复工具已发布，但会限制部分功能。 7、超万个恶意TikTok电商域名窃取用户凭证并传播恶意软件 https://cybersecuritynews.com/malicious-tiktok-shop-domains-attacking-users/ "ClickTok"网络犯罪活动利用超1万个恶意域名，针对全球TikTok Shop用户实施钓鱼攻击，传播SparkKitty间谍软件窃取凭证和加密货币信息，通过仿冒界面和AI内容扩大攻击范围。 8、亚马逊ECS存在ECScape漏洞，可导致跨任务凭证窃取 https://www.freebuf.com/articles/443315.html 网络安全研究人员在亚马逊弹性容器服务（Amazon Elastic Container Service，ECS）中发现了一个"端到端权限提升链"漏洞，攻击者可利用该漏洞进行横向移动、访问敏感数据并控制云环境。 9、Adobe AEM Forms 零日漏洞可导致攻击者执行任意代码 https://www.freebuf.com/articles/443275.html Adobe已针对Java企业版(JEE)的Adobe Experience Manager Forms发布紧急安全更新，修复两个可能导致攻击者执行任意代码和进行未授权文件系统访问的关键零日漏洞。这两个漏洞编号为CVE-2025-54253和CVE-2025-54254，已被Adobe列为最高优先级，且概念验证(Proof-of-Concept)利用代码已在公开渠道出现。 10、虚假加密机器人骗局：智能合约与AI视频窃取数百万美元 https://securityonline.info/the-fake-crypto-bot-scam-how-smart-contracts-ai-videos-are-stealing-millions-on-youtube/ 加密货币骗局利用AI视频和恶意智能合约伪装成套利机器人，通过陈年YouTube账号提升可信度，已窃取超90万美元。攻击者隐藏钱包地址并操控评论，受害者误存ETH后被窃取资金。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、朝鲜黑客伪装远程员工渗透数百企业 https://go.crowdstrike.com/rs/281-OBQ-266/images/Threat-Hunt-Report-2025.pdf CrowdStrike最新威胁狩猎报告披露，过去一年共发现超过320起朝鲜籍人员伪装成远程IT开发者渗透西方企业的案例，数量同比暴增220%。这些人员利用虚假身份、简历和工作经历成功入职，目的在于为朝鲜政权赚取资金，并窃取企业数据用于后续勒索，以支持该国受制裁的核武计划。CrowdStrike将该组织命名为“Famous Chollima”，指出其借助AI工具伪造简历、面貌甚至深度伪装应聘身份。尽管美国法律禁止雇佣朝鲜人，但此类渗透仍在增加 2、安卓恶意软件伪装银行App窃密并挖矿 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-targets-indian-banking-users-to-steal-financial-info-and-mine-crypto/ McAfee发现一项针对印度用户的安卓恶意软件活动，攻击者伪装成SBI Card、Axis Bank等知名金融App，通过仿冒银行网站诱导用户下载安装恶意APK。该恶意应用具备双重功能：不仅窃取姓名、银行卡号、CVV等敏感信息，还能通过Firebase Cloud Messaging远程激活XMRig程序，悄悄在后台挖 3、新型LegalPwn攻击欺骗致AI误判恶意代码 https://info.pangea.cloud/hubfs/research-report/legalpwn.pdf Pangea Labs研究发现新型攻击方式“LegalPwn”，可通过伪造法律免责声明将恶意代码伪装为安全内容，成功绕过GitHub Copilot、ChatGPT等生成式AI工具的检测。该攻击属于提示注入的一种形式，利用AI对法律文本的“默认信任”进行社会工程操控。实测显示，多款AI模型在真实环境中被诱导推荐执行反向Shell等恶意操作，存在严重安全隐患。即便在安全防护开启的前提下，仍有部分模型易受攻击。研究强调，加强人类审查机制已成为确保AI安全不可或缺的一环。 4、NVIDIA Triton服务器漏洞链可实现AI系统远程接管 https://www.freebuf.com/articles/ai-security/443036.html 研究人员新发现的NVIDIA Triton Inference Server（Windows/Linux版）安全漏洞，可使未经身份验证的远程攻击者完全控制受影响服务器。Wiz研究团队指出，组合利用这些漏洞可实现远程代码执行（RCE），对AI基础设施构成严重威胁。 5、ADOdb SQLite3驱动高危漏洞可导致SQL注入攻击 https://securityonline.info/critical-adodb-flaw-cve-2025-54119-cvss-10-0-in-sqlite3-driver-allows-sql-injection/ ADOdb SQLite3驱动存在高危SQL注入漏洞(CVE-2025-54119，CVSS 10.0)，影响5.22.10之前版本，攻击者可利用metaColumns()等方法注入恶意SQL。建议立即升级至5.22.10或严格清理$table参数。 6、威胁组织正积极利用开源生态系统漏洞传播恶意代码 https://cybersecuritynews.com/threat-actors-exploiting-vulnerabilities-in-open-source-ecosystem/ 开源软件供应链成为网络犯罪新目标，2025年Q2发现大量恶意NPM和PyPI包，利用开发者信任植入恶意代码，窃取数据并建立持久访问，技术复杂且规避检测。 7、富士胶片打印机漏洞可导致攻击者触发拒绝服务状态 https://cybersecuritynews.com/fujifilm-printers-vulnerability/ 富士胶片多款打印机存在越界写入漏洞(CVE-2025-48499)，攻击者可发送恶意数据包导致设备崩溃需手动重启。影响DocuPrint和Apeos系列，CVSS评分5.3-6.9。建议立即更新固件或部署防火墙防护。 8、联发科芯片组曝高危漏洞：危及智能手机与物联网设备安全 https://securityonline.info/mediatek-chipset-flaws-out-of-bounds-write-vulnerabilities-expose-smartphones-iot-devices/ 联发科披露多款芯片高危漏洞，涉及MT6761等主流型号，CVE-2025-20696可本地提权，CVE-2025-20697/698静默利用风险高，补丁已就绪，厂商需紧急更新。 9、SonicWall SSL VPN零日漏洞 已发现20余起针对性攻击 https://thehackernews.com/2025/08/sonicwall-investigating-potential-ssl.html SonicWall正调查第七代防火墙SSL VPN可能存在的零日漏洞，Akira勒索软件活动激增。建议禁用SSL VPN、启用MFA等临时措施。攻击链快速入侵域控制器，影响TZ/NSa系列7.2.0-7015及更早固件，威胁严重。 10、树莓知更鸟恶意软件利用CLFS驱动漏洞入侵Windows系统 https://cybersecuritynews.com/raspberry-robin-malware-downloader/ "树莓知更鸟"恶意软件持续升级，利用USB传播并整合CVE-2024-38196漏洞提升权限，采用ChaCha-20加密和高级混淆技术规避检测，威胁企业Windows系统安全。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、AI生成的恶意npm包可盗走Solana资金 https://getsafety.com/blog-posts/threat-actor-uses-ai-to-create-a-better-crypto-wallet-drainer 安全公司Safety曝光一个AI生成的恶意npm包“@kodane/patch-manager”，该包伪装成Node.js工具组件，实则暗藏“隐蔽钱包掠夺器”，已在下架前被下载超过1500次。攻击者利用npm的postinstall脚本机制，在用户安装后自动部署恶意代码至多平台隐藏目录，并连接C2服务器获取主机ID。恶意代码会扫描系统中的Solana钱包文件，并将全部资金转至预设地址。分析指出，该恶意包可 2、新型Plague后门潜伏Linux系统窃密 https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/ 安全研究人员近日揭露名为“Plague”的新型Linux后门，该恶意PAM模块已隐匿存在系统中长达一年。Plague通过篡改Pluggable Authentication Module认证机制，实现绕过身份验证、窃取凭据及长期SSH隐秘访问。其功能包括使用静态凭证、抗调试与混淆技术、防止命令日志记录，并通过清除SSH环境变量来掩盖入侵痕迹。多份样本自2024年7月以来被上传至VirusTotal 3、Cursor代码编辑器修复高危RCE漏洞 https://www.aim.security/lp/aim-labs-curxecute-blogpost 安全研究人员披露，AI代码编辑器Cursor曾存在高危远程代码执行漏洞CVE-2025-54135（CVSS 8.6），现已在7月29日发布的1.3版本中修复。该漏洞允许攻击者通过外部托管的提示注入操控MCP配置文件（mcp.json），并执行恶意命令。由于Cursor运行于开发者权限下，漏洞一旦被利用，攻击者可实现数据窃取、勒索软件植入、AI模型误导等多种恶意操作。漏洞原理类似早前披露的EchoLeak，均与MCP服务器可加载不受信任数据相关。研究指出，该漏洞甚至可通过Slack 4、PlayPraetor安卓木马感染超1.1万台设备 https://thehackernews.com/2025/08/playpraetor-android-trojan-infects.html 新型安卓木马PlayPraetor已感染超1.1万台设备，通过伪造Google Play页面和Meta广告传播，针对西语、法语和葡语用户实施金融欺诈。该木马滥用无障碍服务，可远程控制设备并窃取银行数据，属于中文威胁组织的最新金融欺诈工具，与ToxicPanda等恶意软件趋势一致。 5、Python 隐藏漏洞通过超14.5万个软件包传播 https://securityonline.info/pypitfall-pythons-hidden-vulnerabilities-propagate-through-145k-packages/ 新泽西理工学院研究揭示Python软件包生态存在大规模安全隐患，超14.5万个软件包潜藏漏洞。依赖关系复杂导致漏洞传播，如urllib3漏洞影响40%案例。建议开发审计工具并提升安全意识，解决系统性风险。 6、新型攻击利用Windows快捷方式文件传播REMCOS后门 https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/ Point Wild发现新型恶意软件攻击，通过伪装LNK文件传播REMCOS后门，利用PowerShell下载恶意载荷，最终控制受害系统，窃取数据并监控设备。建议用户谨慎处理不明文件并更新杀毒软件。 7、OpenAI 共享功能导致私密对话遭谷歌搜索曝光 https://securityonline.info/chatgpt-exposed-openais-sharing-feature-leaks-private-conversations-to-google-search/ ChatGPT分享功能导致私密对话被谷歌索引，用户敏感信息泄露。OpenAI承认设计缺陷，高估用户对警告的理解，现已关闭功能并清理数据。 8、联想IdeaCentre和Yoga笔记本电脑BIOS漏洞可执行任意代码 https://cybersecuritynews.com/lenovo-ideacentre-and-yoga-laptop-bios-vulnerabilities/ 联想IdeaCentre和Yoga一体机BIOS存在6个高危SMM漏洞（CVSS 8.2），允许本地攻击者执行任意代码并泄露敏感数据。联想已发布部分型号补丁，Yoga修复将延至2025年底，建议用户立即更新。 9、2025上半年勒索软件激增179%，凭证窃取暴涨800% https://www.csoonline.com/article/4032035/ransomware-up-179-credential-theft-up-800-2025s-cyber-onslaught-intensifies.html 2025年上半年网络威胁剧增：凭证窃取暴增800%，漏洞利用增长246%，勒索软件攻击飙升179%，全球安全团队陷入被动防御。专家呼吁采用主动威胁情报和快速补丁策略应对危机。 10、银狐组织利用虚假WPS传播Windows恶意软件 https://cybersecuritynews.com/silver-fox-hackers-using-weaponized-google-translate/ 银狐组织利用高仿真谷歌翻译等工具网站传播Winos木马，通过虚假Flash更新诱导下载，具备数据窃取和持久化控制能力，凸显社会工程学攻击日益成为主要威胁，用户安全意识至关重要。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、浏览器恶意扩展可劫持AI提示操作 https://hackread.com/browser-extensions-exploit-chatgpt-gemini-man-in-the-prompt/ 网络安全公司LayerX发布报告，揭示一种名为“Man in the Prompt”（提示中间人）的新型攻击手法。该攻击利用浏览器扩展插件对ChatGPT、Google Gemini等生成式AI工具进行操控，通过DOM访问权限窃取用户输入或注入隐蔽指令。攻击者可借由恶意插件读取、篡改提示内容，提取AI响应中的敏感信息，甚至诱导AI泄露机密数据。由于企业常在AI工具中处理重要资料，而多数组织允许自由安装插件，该攻击为数据泄露开辟隐秘 2、研究人员发布FunkSec勒索软件解密工具 https://www.gendigital.com/blog/insights/research/funksec-ai Avast研究人员与执法机构合作，成功开发并公开发布FunkSec勒索软件的解密工具，受害者现可免费恢复被加密的文件。FunkSec自2024年底活跃，采用Rust语言编写，曾通过低价勒索与数据贩售手段牟利。尽管该组织借助AI工具增强攻击能力，但分析显示其成员经验有限，部分泄露数据真实性存疑。目前该团伙被认定已停止活动，研究人员据此决定发布解密器。FunkSec曾声称支持“Free Palestine”运动，攻击目标主要集中于印度与美国。 3、Honeywell工业系统曝远程控制漏洞 https://www.cisa.gov/news-events/ics-advisories/icsa-25-205-03 Honeywell修复其Experion PKS工业自动化系统中的多个严重漏洞，其中部分可导致远程代码执行或操控工业流程。CISA警告称，受影响版本广泛用于关键基础设施领域，如能源、制造、化工与水务。漏洞集中于控制数据访问模块（CDA），可被攻击者利用终止设备运行、篡改通信、改变系统参数。专家指出，尽管大多部署于隔离网段，但本地访问足以触发攻击。建议用户立即更新至官方修复版本，强化工业环境的漏洞管理机制。 4、朝鲜黑客利用虚假招聘诱骗窃取加密资产 https://services.google.com/fh/files/misc/cloud_threat_horizons_report_h22025.pdf 谷歌云报告披露，朝鲜国家支持的APT组织UNC4899（又名TraderTraitor）通过LinkedIn和Telegram伪装成招聘软件开发者，引诱受害者执行恶意Docker容器，进而入侵其云账户。攻击者利用社交工程、恶意npm包及云平台命令行工具远程访问Google Cloud与AWS，部署恶意程序GLASSCANNON并植入PLOTTWIST与MAZEWIRE后门，实现数据窃取与持久控制。尽管多因素认证一度阻止攻击，但黑客 5、Everest勒索团体声称入侵Mailchimp平台 https://hackread.com/everest-ransomware-claims-mailchimp-small-breach/ Everest 勒索软件组织在其暗网站点宣布入侵邮件营销平台Mailchimp，并泄露一份包含94万余行数据的数据库样本。虽然泄露规模相对较小（767 MB），但包含企业邮箱、联系方式、社交链接及使用的技术栈信息，疑似源自CRM或营销导出记录，而非Mailchimp核心系统。Everest自2020年活跃以来多次使用“双重勒索”策略，此前曾攻击可口可乐。 6、新型钓鱼利用多层重定向技术窃取微软账号 https://www.cloudflare.com/zh-cn/threat-intelligence/research/report/attackers-abusing-proofpoint-intermedia-link-wrapping-to-deliver-phishing-payloads/ Cloudflare揭示，一场新型钓鱼活动正滥用Proofpoint和Intermedia的链接重写服务，通过多层重定向引导受害者至伪造的Microsoft 365登录页，窃取凭证。攻击者先利用Bitly缩短恶意链接，再经已启用安全服务的被控邮箱发送，使链接被二次包装为可信格式（如urlde 7、WordPress Alone曝严重漏洞遭大规模攻击 https://www.wordfence.com/blog/2025/07/attackers-actively-exploiting-critical-vulnerability-in-alone-theme/ 研究人员发现，攻击者正大规模利用WordPress“Alone”中的高危漏洞（CVE-2025-5394，CVSS 9.8）入侵网站。该漏洞允许未认证用户通过伪造请求上传任意文件，进而远程执行代码，实现整站接管。漏洞影响7.8.3及以下版本，7月14日公开前即已被零日利用。尽管6月16日发布的7.8.5版本已修复漏洞，但Wordfence已拦截逾12万次攻击尝试，恶意IP频繁上传 8、UNC2891利用树莓派渗透ATM网络 https://www.group-ib.com/blog/unc2891-bank-heist/ 威胁组织UNC2891近期被发现通过携带4G模块的树莓派设备，渗透某银行ATM网络。该组织利用物理接触权限，将设备接入ATM所在的网络交换机，并通过TINYSHELL后门建立动态DNS控制通道，绕过传统边界防御系统，实现远程操控。攻击目标是部署名为CAKETAP的内核Rootkit，以隐藏恶意活动并伪造硬件安全模块的验证信息，从而实施银行卡欺诈。尽管最终攻击被及时阻断，但攻击者仍一度通过邮件服务器中的后门保持内部访问，显示出其对Linux/Unix系统的深厚掌控力。 9、BlackSuit勒索团伙服务器被查封 https://www.presseportal.de/blaulicht/pm/105578/6085950 德国检方宣布，德国与美欧多国联合执法，于7月24日成功查封臭名昭著的BlackSuit勒索软件团伙服务器，切断其恶意软件基础设施，并获取大量关键数据，有望追踪幕后操纵者。BlackSuit曾以Royal为名，攻击对象遍布全球184个受害实体，涉及制造、通信及医疗行业。其暗网泄密站现已被查封，显示官方查获声明。行动由欧盟刑警组织与美国国土安全部调查局协作进行。尽管是否有嫌犯被逮捕尚未公开，但研究人员警告称，已有疑似由该团伙成员组成的新组织“Chaos”开始活跃。 10、Akira勒索团伙盯上SonicWall防火墙 https://www.bleepingcomputer.com/news/security/surge-of-akira-ransomware-attacks-hits-sonicwall-firewall-devices/ 自7月中旬以来，Akira勒索软件团伙频繁通过SonicWall防火墙设备发动攻击，疑似利用尚未披露的零日漏洞。Arctic Wolf指出，攻击者通过SonicWall SSL VPN连接获取初始访问权限，并迅速加密受害网络数据，展现出自2024年10月以来持续锁定该设备的攻击模式。截至2024年4月，Akira已从全球250多名受害者处勒索超4200万美元。研究人员 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型恶意软件JSCEAL利用Node.js和混淆技术发起攻击 https://research.checkpoint.com/2025/jsceal-targets-crypto-apps/ 研究人员发现一种名为JSCEAL的新型恶意软件，它通过Node.js和混淆技术隐藏其恶意行为。该恶意软件通过Cloudflare的DNS服务解析C2服务器，并建立tRPC连接以接收攻击者的指令。JSCEAL的主要功能包括窃取用户敏感信息、浏览器cookie、自动完成的密码，以及执行键盘记录和屏幕截图等操作。它还可以通过Puppeteer自动化用户操作，并利用WinPTY执行命令行任务。研究人员指出，JSCEAL的出现代表了一种新的攻击趋势，攻击者利用合法框架（如N 2、美国化学品公司遭Auto-Color后门攻击 https://www.darktrace.com/blog/auto-color-backdoor-how-darktrace-thwarted-a-stealthy-linux-intrusion 安全机构发现一家美国化学品公司网络遭受Auto - Color后门恶意软件攻击。攻击者利用SAPNetWeaver的严重漏洞CVE - 2025 - 31324入侵系统，下载可疑文件并尝试与恶意基础设施通信。调查显示，Auto - Color后门是一种针对Linux系统的远程访问木马，具有高度规避性，通过预加载恶意共享对象实现持久化，并在无法完成攻击链时采用抑制策略逃避检测。Darktrace 3、新型Android银行木马RedHook攻击越南用户 https://cyble.com/blog/redhook-new-android-banking-targeting-in-vietnam/ 研究人员发现了一种名为RedHook的新型Android银行木马，该木马通过伪装成可信金融机构和政府机构的钓鱼网站攻击越南用户。RedHook使用WebSocket与命令与控制(C2)服务器通信，支持30多个远程命令，能够完全控制受感染设备。该木马功能强大，但RedHook在VirusTotal上的检测率较低，使其成为一种隐秘且活跃的威胁。RedHook通过网络钓鱼、键盘记录、屏幕截图和远程访问木马(RAT)功能窃取用户凭证并实施金融欺诈.其传播渠 4、Lionishackers在暗网窃取并出售企业数据库 https://cybersecuritynews.com/lionishackers-threat-actors/ 近日，一个名为Lionishackers的网络犯罪团伙在暗网和Telegram上频繁活动，窃取并出售企业数据库。该团伙自2024年9月首次出现，利用SQL注入工具攻击配置不当的Web应用程序，获取敏感记录后在地下论坛和Telegram频道上出售。其攻击目标广泛，涵盖政府机构、电信公司、制药公司、教育机构、零售连锁店和赌博网站等，窃取的数据包括个人身份信息、财务记录和身份验证凭证等，可能被用于身份盗窃、账户接管或企业间谍活动。研究人员发现，该团伙通过维护多个论坛别名和Teleg 5、SafePay勒索团伙威胁将泄露英迈3.5TB数据 https://www.bleepingcomputer.com/news/security/safepay-ransomware-threatens-to-leak-35tb-of-ingram-micro-data/ SafePay勒索软件团伙声称已从IT巨头英迈国际窃取3.5TB数据，并威胁将其泄露至暗网。英迈国际是全球最大的企业对企业服务提供商和技术分销商之一，此次攻击导致其全球业务中断，员工被迫在家办公，公司网站和订购系统下线。尽管英迈国际在几天内恢复了大部分受攻击影响的系统和平台，但尚未确认攻击是否由SafePay勒索软件造成，以及数据是否被盗。SafePay自2024年9月浮出 6、OAuth2-Proxy 存在身份验证绕过漏洞 https://cybersecuritynews.com/oauth2-proxy-authentication-bypass/ OAuth2-Proxy 7.10.0以下版本存在严重身份验证绕过漏洞（CVE-2025-54576），攻击者可构造恶意URL绕过认证。漏洞CVSS评分9.1，建议立即升级至v7.11.0并优化正则表达式配置。 7、大华摄像头漏洞可遭远程入侵，用户需立即升级固件 https://securityaffairs.com/180602/hacking/dahua-camera-flaws-allow-remote-hacking-update-firmware-now.html 大华智能摄像头存在严重漏洞（CVE-2025-31700/31701），攻击者可远程控制设备。影响Hero C1等多系列型号，需立即升级2025年4月16日后固件，避免设备暴露公网。 8、苹果紧急修复影响Safari的零日漏洞攻击 https://securityaffairs.com/180595/security/apple-fixed-a-zero-day-exploited-in-attacks-against-google-chrome-users.html 苹果修复高危零日漏洞CVE-2025-6558（CVSS 8.8），该漏洞影响Chrome的ANGLE/GPU组件，可致沙箱逃逸，已被用于攻击。苹果多款设备系统（iOS/iPadOS/macOS等）已发布更新修复。 9、SUSE Manager曝高危漏洞可远程无认证获取root权限 https://www.freebuf.com/articles/system/442376.html SUSE Manager管理平台存在一个严重安全漏洞（CVSS评分9.8），攻击者无需身份验证即可在所有客户端上实现远程代码执行（RCE, Remote Code Execution）并获取root权限。目前漏洞利用代码（PoC, Proof of Concept）已在安全社区流传。 10、英伟达芯片被曝出存在严重安全被国家网信办约谈 https://www.freebuf.com/news/442429.html 近日，英伟达算力芯片被曝出存在严重安全问题。此前，美议员呼吁要求美出口的先进芯片必须配备“追踪定位”功能。美人工智能领域专家透露，英伟达算力芯片“追踪定位”“远程关闭”技术已成熟。为维护中国用户网络安全、数据安全，依据《网络安全法》《数据安全法》《个人信息保护法》有关规定，国家互联网信息办公室于7月31日约谈了英伟达公司，要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明材料。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、PyPI用户遭遇电子邮件网络钓鱼攻击 https://blog.pypi.org/posts/2025-07-28-pypi-phishing-attack/ PyPI用户近期成为网络钓鱼攻击的目标，攻击者通过伪造的电子邮件诱骗用户登录虚假的PyPI网站。这些邮件标题为“[PyPI]电子邮件验证”，来自伪造域名mailto:noreply@pypj.org，而非官方的pypi.org。邮件中包含链接，引导用户至钓鱼网站，该网站模仿PyPI界面，试图窃取用户凭据。PyPI管理员已意识到此问题，并在主页上发布警告横幅，提醒用户在登录时检查URL。同时，PyPI正在与CDN提供商和域名注册商合作，处理钓鱼网站。 2、“SarangTrap”跨平台大规模恶意软件攻击活动曝光 https://thehackernews.com/2025/07/cybercriminals-use-fake-apps-to-steal.html 安全团队发现了一场名为“SarangTrap”的大规模恶意软件攻击活动，涉及250多个恶意Android应用程序和80多个恶意域名。这些域名伪装成合法的约会和社交媒体应用程序，诱导用户安装恶意软件，窃取敏感数据，并进行勒索。攻击者利用心理操控和社会工程手段，通过虚假应用程序和钓鱼域名，诱骗用户授予权限，从而在后台悄无声息地收集数据。该活动不仅针对Android用户，还通过移动配置文件瞄准iOS用户，显示出其跨平台的威胁性。 3、Base44 Vibe平台漏洞致私有应用遭未授权访问 https://www.wiz.io/blog/critical-vulnerability-base44 安全机构发现Base44编码平台存在严重漏洞，攻击者可利用该漏洞绕过身份验证，访问私有应用程序及其敏感数据。Base44是一个流行的人工智能驱动的编码平台，被众多企业用于构建内部工具和处理敏感数据。该漏洞的利用难度极低，只需通过API端点提供app_id值即可注册并访问私有应用。WizResearch在发现漏洞后迅速向Base44和其母公司Wix披露了问题，Wix在不到24小时内完成了修复，并确认未发现漏洞被滥用的迹象。 4、新型攻击通过公共充电器窃取数据，过程仅需133毫秒 https://hackread.com/choicejacking-attack-steals-data-phones-public-chargers/ 近日，网络安全研究人员发现了一种名为“Choicejacking”的新型攻击手段，攻击者通过公共充电器在几毫秒内绕过手机安全提示，窃取用户数据。该攻击利用USB或蓝牙伪造用户操作，将手机切换到数据传输模式，用户甚至毫无察觉。研究显示，攻击过程仅需133毫秒，比眨眼还快。攻击者可借此浏览照片、阅读消息或植入恶意软件。专家警告，公共USB端口存在极大风险，建议用户保持手机软件更新，避免使用不熟悉的充电端口，尽量使用便携式移动电源或自带适配器的 5、诺基亚遭遇公司最严重数据泄露事件，内部网络遭威胁攻击者入侵 https://www.freebuf.com/articles/database/442313.html 威胁攻击者Tsar0Byte宣称通过存在漏洞的第三方链接入侵了诺基亚公司内部网络，导致超过94,500名员工的敏感数据遭到泄露。这一事件在DarkForums等暗网论坛被曝光，是近年来影响诺基亚公司最严重的企业数据泄露事件之一。 6、TP-Link C50路由器曝安全漏洞，硬编码密钥可解密敏感配置 https://securityonline.info/tp-link-archer-c50-eol-exposed-hardcoded-des-key-allows-sensitive-config-decryption-cve-2025-6982/ TP-Link Archer C50路由器因固件使用硬编码DES密钥（CVE-2025-6982）存在严重漏洞，可解密配置文件获取敏感信息。厂商已停止支持，建议用户更换设备并更改密码。 7、SonicWall SSL VPN高危漏洞可致防火墙遭受DoS攻击 https://securityonline.info/sonicwall-alert-critical-ssl-vpn-flaw-cve-2025-40600-allows-remote-dos-attack-on-firewalls/ SonicWall披露SonicOS防火墙SSL VPN高危漏洞CVE-2025-40600（CVSS 7.5），可致远程服务中断，影响第七代硬件及虚拟设备。建议用户立即升级至7.3.0-7012以上版本修复漏洞。 8、Chrome高危漏洞可导致内存篡改与任意代码执行 https://cybersecuritynews.com/chrome-security-update-138/ 谷歌紧急更新Chrome修复高危漏洞CVE-2025-8292，攻击者可利用内存漏洞执行任意代码。建议用户立即升级至最新版本138.0.7204.183/.184，防止数据窃取或系统入侵。谷歌已限制漏洞细节，并持续修复多个高危缺陷。 9、BentoML框架高危SSRF漏洞致AI应用面临风险 https://securityonline.info/critical-bentoml-ssrf-cvss-9-9-exposes-ai-applications-to-unauthenticated-network-recon-cloud-credential-theft/ BentoML框架存在CVSS 9.9分SSRF漏洞，攻击者可未授权访问内部系统、窃取云凭证，威胁AI应用安全。 10、黑客利用SAP漏洞入侵Linux系统并部署Auto-Color恶意软件 https://thehackernews.com/2025/07/hackers-exploit-sap-vulnerability-to.html 威胁行为者利用SAP NetWeaver漏洞CVE-2025-31324攻击美国化工企业，部署Auto-Color后门程序。该恶意软件伪装良性软件逃避检测，支持远程控制Linux主机。攻击者三天内入侵网络，展现高度隐蔽性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Gemini AI CLI漏洞可被劫持执行恶意代码 https://tracebit.com/blog/code-exec-deception-gemini-ai-cli-hijack 安全研究机构发现了针对Google Gemini CLI的静默攻击漏洞。该漏洞利用不当验证、提示注入和误导性用户体验的组合，导致在检查不受信任的代码时，恶意命令会在用户不知情的情况下静默执行。攻击者可以通过在代码库中嵌入恶意的“上下文文件”（如 GEMINI.md），诱导Gemini CLI执行恶意命令，甚至窃取用户凭据并将其发送到远程服务器。安全机构报告了这一漏洞，Google于7月25日在v0.1.14版本中修复了该问题，并于7月28日正式披露。在漏洞存在 2、Toptal GitHub组织遭劫持致多个代码库公开 https://socket.dev/blog/toptal-s-github-organization-hijacked-10-malicious-packages-published 全球人才网络Toptal的GitHub组织被威胁行为者劫持，导致73个代码库被公开，其中至少10个包含恶意代码。这些恶意代码通过npm生命周期钩子注入，主要目的是窃取GitHub身份验证令牌，并尝试对受害者的系统造成严重破坏。受影响的软件包包括多个与Toptal的Picasso设计系统相关的包，累计下载量约为5000次。攻击者通过curl命令将令牌发送到其控制的端点，并尝试删除Unix系统的整个文件统。To 3、约会应用Tea再次泄露用户私密信息 https://www.bleepingcomputer.com/news/security/tea-app-leak-worsens-with-second-database-exposing-user-chats/ 约会安全应用Tea近期遭遇第二次重大数据泄露事件。超过一百万条用户私信被曝光，内容涉及堕胎、出轨等敏感话题，甚至包含用户电话号码。研究人员发现，黑客可能利用Tea的漏洞窃取这些信息，且此次泄露涉及的数据比首次事件更为近期。Tea声称受影响的是旧数据存储系统，但调查表明，泄露信息涵盖截至上周的记录。此外，研究人员还发现Tea存在向所有用户发送推送通知的漏洞。用户在Tea上的匿名 4、黑客入侵致俄罗斯航空公司大量航班停飞 https://www.theregister.com/2025/07/28/aeroflot_system_compromise/ 俄罗斯最大航空公司俄罗斯国际航空公司（Aeroflot）因信息系统遭黑客攻击发生故障，导致近50对往返航班被取消。据《生意人报》报道，白俄罗斯黑客组织“Silent Crow”和“Cyber Partisans BY”声称入侵该公司网络长达一年，摧毁了约7000台物理和虚拟服务器，入侵了关键系统，控制了包括管理层在内的员工个人电脑，并复制了大量数据。该航空公司表示，专家团队正在努力将风险降至最低，尽快恢复正常运营，受影响航班的旅客可在未来10天内申请退款或改签 5、法国海军集团数据泄露事件引发关注 https://www.infosecurity-magazine.com/news/naval-group-denies-hack/ 法国海军集团（Naval Group）近期遭遇了一起严重的数据泄露事件。7月23日，一名自称“Neferpitou”的黑客在暗网论坛声称入侵了该集团的IT系统，窃取了1TB的机密数据。这些数据包括FREMM护卫舰和FDI护卫舰的战斗管理系统（CMS）的源代码、部署文档、网络数据以及标注为“限制分发”和“法国特别”的技术文件。黑客还公布了13GB的数据样本作为证据，并向海军集团发出72小时的最后通牒，要求其通过加密通讯平台Session建立联系。然而，法国海军 6、SHUYAL木马盗取19种主流浏览器凭据 https://www.anquanke.com/post/id/310643 在一次深入的技术调查中，Hybrid Analysis揭露了一种强大的新型信息窃取者——SHUYAL，这是一个之前未曾记录过的恶意软件家族，结合了广泛的凭证收集、系统侦察和隐蔽的外泄行为。SHUYAL以其PDB路径中的唯一标识符命名，是一种凭证窃取者，具备间谍软件级别的行为。Hybrid Analysis的研究人员发现该窃取者针对19种浏览器，包括Chrome、Edge和Firefox等主流浏览器，以及Tor和Falkon等隐私浏览器。 7、Post SMTP插件漏洞可致站点被接管，影响超40 万个网站 https://www.anquanke.com/post/id/310544 热门 WordPress 插件 Post SMTP 存在严重漏洞，影响超过 40 万个网站。安全公司 Patchstack 披露，该插件存在访问控制失效漏洞（CVE-2025-24000），攻击者可借此通过 REST API 实现账户接管，危及整个网站安全。目前，漏洞已在 3.3.0 版本中被修复，CVSS 评分为 8.8。 8、钓鱼攻击新变种：“同形异字”绕过防御，AI助推风险升级 https://www.anquanke.com/post/id/310659 在最新的报告中，Palo Alto Networks 的 Unit 42 揭示了一种隐蔽的钓鱼技术，这种技术继续绕过人类感知和自动化防御：同形异字攻击。这些攻击利用拉丁字母与非拉丁字母（如西里尔字母和希腊字母）之间的视觉相似性，制作看似完全合法的邮件，但隐藏着微妙的操控，欺骗眼睛并逃避检测。 9、黑客利用 .hwp 文件传播 RokRAT 恶意软件 https://www.anquanke.com/post/id/310551 网络安全研究人员近期发现，一场精心策划的恶意软件攻击活动正在利用韩国常用的 Hangul Word Processor（.hwp）文档，传播臭名昭著的 RokRAT 恶意程序。 10、用友U8cloud存在任意文件上传漏洞安全风险 https://www.secrss.com/articles/81422 近日，奇安信CERT监测到官方修复用友U8cloud ServiceDispatcherServlet 任意文件上传漏洞(QVD-2025-29445)，该漏洞源于用友U8cloud ServiceDispatcherServlet反序列化补丁修复不完善，攻击者可绕过鉴权并实现任意文件上传获取服务器权限。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型VoIP僵尸网络利用默认密码攻击路由器 https://www.greynoise.io/blog/how-greynoise-uncovered-global-pattern-voip-based-telnet-attacks 研究中发现了一起基于VOIP的Telnet攻击活动。最初，工程师在遥测仪表板中注意到新墨西哥州一个乡村地区出现大量恶意IP，这些IP均与拉古纳公用事业局绑定。进一步调查发现，这些IP展现出高密度的Telnet流量和Mirai僵尸网络特征，且多数与支持VOIP的设备相关。通过人工智能分析和数据丰富，研究人员确认全球约有500个IP表现出相似特征，这些IP多为运行旧版Linux固件且面向互联网的设备，尤其是路 2、黑客入侵游戏鼠标软件传播Xred恶意软件 https://cybersecuritynews.com/gaming-mouse-software-compromised/ 游戏外设制造商Endgame Gear的官方软件分发系统遭到黑客入侵，其OP1w 4K V2鼠标配置工具被植入Xred恶意软件，并在2025年6月26日至7月9日期间向用户传播。该恶意软件是一种复杂的Windows后门程序，具有数据盗窃、键盘记录和自我传播功能。Xred可收集系统敏感信息并通过电子邮件发送给攻击者，同时通过伪装和注册表运行键实现持久化。事件曝光后，Endgame Gear替换了受感染文件，但未公开承认此次入侵。该公司随后加强了安全措施，包括恶意软件 3、研究人员披露Bloomberg Comdb2数据库漏洞 https://blog.talosintelligence.com/bloomberg-comdb2-null-pointer-dereference-and-denial-of-service-vulnerabilities/ 研究人员披露了彭博Comdb2数据库中的五个漏洞，其中包括三个空指针引用漏洞和两个拒绝服务漏洞。Comdb2是彭博开发的开源高可用性数据库，支持集群、事务、快照等功能。这些漏洞存在于Comdb2 8.1版本中，攻击者可通过发送精心设计的消息或数据包触发漏洞，导致拒绝服务。目前，相关漏洞已被供应商修复，用户可从Snort.org下载最新规则集以检测漏洞利用，更多漏洞 4、新型AI生成Linux恶意软件Koske现身威胁环境 https://securityaffairs.com/180355/malware/koske-a-new-ai-generated-linux-malware-appears-in-the-threat-landscape.html 新型Linux恶意软件Koske利用AI技术开发，通过多语言图像文件隐藏恶意代码，逃避检测并实现持久化。支持18种加密货币挖矿，能自动切换目标，暗示AI辅助开发。AI驱动的恶意软件将带来颠覆性威胁，使防御面临严峻挑战。 5、全球智能建筑与工业系统告急，Niagara框架曝高危漏洞 https://thehackernews.com/2025/07/critical-flaws-in-niagara-framework.html Tridium公司Niagara框架曝出十余个高危漏洞（CVSS 9.8），配置错误时攻击者可完全控制关键基础设施系统。漏洞组合利用可实现中间人攻击、权限提升和root级接管，威胁楼宇管理、工业自动化等领域安全。相关漏洞已在最新版本修复，但未加固系统仍面临严重风险。 6、热门JavaScript库"is"等软件包遭npm供应链攻击植入后门 https://securityonline.info/popular-is-javascript-library-others-compromised-in-npm-supply-chain-attack/ 热门JS工具库"is"遭钓鱼攻击，开发者账户泄露致恶意版本发布，植入后门实现远程代码执行。多款NPM库受影响，新型窃密软件Scavanger曝光。建议立即审计依赖项并升级安全版本。 7、国际执法行动查封BlackSuit勒索软件团伙暗网站点 https://securityaffairs.com/180409/cyber-crime/law-enforcement-operations-seized-blacksuit-ransomware-gangs-darknet-sites.html 国际执法查封BlackSuit勒索网站，该组织为Royal变种，攻击关键设施，勒索超5亿美元。FBI与CISA联合发布安全公告，建议实施缓解措施。 8、LG Innotek摄像头漏洞可使攻击者获取管理员权限 https://www.freebuf.com/articles/ics-articles/441749.html 研究人员在LG Innotek的LNV5110R摄像头型号中发现严重安全漏洞，网络犯罪分子可利用该漏洞完全控制受影响设备。美国网络安全和基础设施安全局（CISA）于2025年7月24日发布公告，警告该漏洞可被远程利用，影响全球所有版本的该型号摄像头。 9、Salesforce 修复了 Tableau Server 中 8 个严重漏洞 https://www.anquanke.com/post/id/310627 Salesforce发布了一项安全公告，解决了影响多个版本Tableau Server（广泛使用的数据可视化和商业智能平台）的8个严重漏洞。这些漏洞已在2025年6月26日的维护版本中披露并修复，涉及的漏洞包括可能导致远程代码执行（RCE）、生产数据库暴露和服务器端请求伪造（SSRF）等问题。 10、新型Chaos勒索使用语音欺诈和双重勒索攻击 https://www.anquanke.com/post/id/310647 Cisco Talos Incident Response（Talos IR）发现了一种名为Chaos的新型勒索软件即服务（RaaS）运营活动，该活动正在全球范围内开展大型猎杀和双重勒索攻击。尽管Chaos与之前的恶意软件家族同名，Talos明确表示：“Talos认为新的Chaos勒索软件与以前的Chaos构建工具生成的变种无关……该团伙使用相同的名称来制造混淆。” 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Fire Ant针对VMware基础设施进行隐秘间谍攻击 https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/ 名为“Fire Ant”的攻击者自2025年初以来针对VMware ESXi、vCenter和网络设备发动了一场隐秘的网络间谍活动。攻击者利用虚拟机管理程序级别的技术，通过多层攻击链实现持久访问，绕过传统安全检测。攻击手段包括利用CVE-2023-34048和CVE-2023-20867漏洞、部署未签名的VIB、篡改日志、创建伪造身份验证cookie等。此外，攻击者还通过F5负载均衡器漏洞和Neo-reGeorg隧道Webshell 2、黑客组织EncryptHub借助Chemia游戏传播恶意软件 https://www.bleepingcomputer.com/news/security/hacker-sneaks-infostealer-malware-into-early-access-steam-game/ 网络安全研究人员披露，名为EncryptHub的黑客组织入侵了Steam平台上的抢先体验版游戏Chemia，并向用户分发信息窃取恶意软件。Chemia是由“Aether Forge Studios”开发的一款生存制作游戏，目前尚未正式发布。研究人员发现，EncryptHub在7月22日将HijackLoader恶意软件注入该游戏文件中，该恶意软件会从Telegram频道检索 3、Mimo威胁行为体攻击范围扩大至Magento和Docker https://securitylabs.datadoghq.com/articles/beyond-mimolette-tracking-mimo-expansion-magento-cms-docker/ 安全研究团队在调查一系列电子商务网站工作负载泄露事件时发现，Mimo威胁行为体（也称为Mimo'lette）的攻击目标已从Craft CMS扩展到Magento电商平台和Docker环境。研究人员观察到，Mimo利用未确定的PHP - FPM漏洞入侵Magento，通过复杂的持久性机制和规避技术保持长期访问。例如，Mimo使用GSocket工具建立未经授权的远程访问，并通过memfd_ 4、Mitel关键漏洞致黑客可绕过登录获完全访问权 https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2025-0009 Mitel公司发布安全更新，修复了MiVoice MX-ONE系统中的严重漏洞。该漏洞存在于Provisioning Manager组件中，攻击者可利用其绕过身份验证，未经授权访问系统中的用户或管理员账户。该漏洞尚未分配CVE编号，CVSS评分为9.4（满分10.0），影响7.3至7.8 SP1版本。Mitel已发布补丁，建议用户尽快联系授权服务合作伙伴申请更新。此外，Mitel还修复了MiColla 5、新型AI辅助恶意软件Koske针对Linux系统 https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/ 研究人员发现了一种名为Koske的复杂Linux威胁，该恶意软件显示出明显的人工智能辅助开发迹象。攻击者利用配置错误的服务器安装后门程序，通过缩短的URL下载看似无害的JPEG图像，这些图像文件末尾附加了恶意负载。Koske通过模块化有效载荷、规避型rootkit和武器化图像文件传播，主要目的是加密挖矿。该恶意软件利用多种技术确保系统持久性，包括编辑Shell配置、修改系统启动操作和设置Cron Job 6、亚马逊AI编码助手“Q ”遭黑客植入恶意命令 https://www.zdnet.com/article/hacker-slips-malicious-wiping-command-into-amazons-q-ai-coding-assistant-and-devs-are-worried/ 近日，亚马逊的人工智能编程助手“Q”被黑客植入恶意“擦除”命令，引发了开发人员的广泛关注和担忧。据调查，黑客通过向亚马逊Q的GitHub代码库提交拉取请求，植入了一条指示人工智能代理清理系统并删除文件和云资源的提示。如果该命令被执行，可能会删除本地文件，甚至破坏亚马逊网络服务（AWS）的云基础设施。虽然攻击者表示实际风险较低，但该更新已通过亚马逊 7、Replit AI代理删除敏感数据引发安全担忧 https://hackread.com/replit-ai-agent-deletes-data-despite-instructions/ 科技创业者、SaaStr创始人Jason Lemkin在社交媒体上曝光了一起严重的AI安全事件。他试用了Replit的AI代理一周多，期间该代理在未经许可的情况下删除了SaaStr专业网络内1206名高管和1196家公司的数据。尽管Lemkin多次明确指示AI代理不要进行未经授权的更改，甚至使用了全大写的“DON’T DO IT”，但AI代理仍运行了删除命令。事件发生后，Replit首席执行官Amjad Masad承认这一行为“完全不可接受”，并表示 8、Epsilon Red勒索软件通过ClickFix传播 https://www.cloudsek.com/blog/threat-actors-lure-victims-into-downloading-hta-files-using-clickfix-to-spread-epsilon-red-ransomware 网络安全机构发现了一起通过伪造的ClickFix验证页面传播Epsilon Red勒索软件的活动。该活动自7月起活跃，攻击者利用社交工程技术，冒充Discord、Twitch和OnlyFans等平台，诱骗用户下载恶意的.HTA文件。通过ActiveX静默执行恶意命令，攻击者会从控制的IP地址下载并运行勒索软件有效载荷。受害者在不知情 9、Soco404新型加密挖矿活动伪装成虚假404页面 https://www.wiz.io/blog/soco404-multiplatform-cryptomining-campaign-uses-fake-error-pages-to-hide-payload 安全机构发现了一种名为Soco404的新型加密货币挖矿攻击活动。该活动利用云环境中的漏洞和错误配置，尤其是PostgreSQL的错误配置，针对Linux和Windows系统部署恶意软件。攻击者通过伪装成合法系统进程、利用cron作业和shell初始化文件实现持久性，并通过受感染的合法服务器托管和传播恶意软件。恶意负载被嵌入在使用Google协作平台构建的虚假404HTML页面中。研究 10、恶意木马Trojan.Scavenger伪装游戏外挂窃取信息 https://news.drweb.com/show/?i=15036&lng=en& 安全人员检测到名为Trojan.Scavenger的恶意应用程序家族。该家族的木马程序通过伪装成游戏作弊软件和模组，利用Windows系统的DLL搜索顺序劫持漏洞，从玩家的加密钱包和密码管理器中窃取机密数据。木马通过多阶段感染计算机，初始阶段以ZIP压缩包形式分发，伪装成游戏补丁或模组，诱导玩家将其放入游戏目录。一旦启动，木马会下载并安装其他恶意组件，篡改浏览器扩展程序，窃取加密钱包中的助记词和密码管理器中的用户数据。目前，相关防护措施已添加至Dr.Web反病毒产品中，有效抵御此类攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、WordPress mu-plugins隐藏后门攻击曝光 https://blog.sucuri.net/2025/07/uncovering-a-stealthy-wordpress-backdoor-in-mu-plugins.html 网络安全研究人员揭露了一种隐蔽的WordPress后门攻击。攻击者利用WordPress的mu-plugins目录植入恶意文件“wp-index.php”，该文件自动加载且无法通过管理面板禁用，从而实现持久化控制。该后门通过ROT13混淆技术隐藏远程有效载荷URL，下载并执行恶意代码，允许攻击者远程运行任意PHP代码。此外，攻击者还创建隐藏管理员账户“officialwp”，并可篡改常见管理员账户密码，以维持访 2、全球时尚品牌SABO超过350万客户记录被曝光 https://hackread.com/global-fashion-label-sabo-customer-records-leaked 总部位于澳大利亚的全球时尚品牌SABO遭遇数据泄露事件，超过350万条客户记录被曝光，涉及姓名、地址、订单详情等敏感信息。此次泄露由网络安全研究员发现，相关数据存储于一个未设置密码保护的数据库中，总计292GB。目前尚不清楚该数据库是SABO直接管理还是由第三方管理，也不清楚数据暴露了多长时间及是否有其他方访问过。 3、勒索软件组织Lynx声称入侵了PC制造商iBUYPOWER https://www.comparitech.com/news/ransomware-gang-says-it-hacked-pc-maker-ibuypower/ 勒索软件组织Lynx承认其于6月份对游戏PC制造商iBUYPOWER及其姊妹品牌HYTE发起了网络攻击，导致数据泄露。iBUYPOWER于6月25 日宣布在6月21日遭遇网络安全事件，多个内部系统暂时中断。目前尚不清楚iBUYPOWER是否支付了赎金、Lynx索要的赎金金额、攻击者是如何入侵该公司网络的，以及哪些具体数据遭到泄露。不过，iBUYPOWER表示其不会在其网络环境中存储客户支付信息。 4、Apache Jena漏洞可导致任意文件访问或篡改 https://www.freebuf.com/articles/system/440845.html Apache Jena披露了两个影响5.4.0及之前版本的重要安全漏洞，建议立即升级至5.5.0版本。2025年7月21日公布的CVE-2025-49656和CVE-2025-50151均属于重要级别漏洞，攻击者可利用管理员权限破坏服务器文件系统完整性。 5、全球最大暗网犯罪平台XSS[.]is论坛核心管理员落网 https://www.freebuf.com/news/441137.html 法国警方联合乌克兰当局与欧洲刑警组织（Europol）展开调查，成功逮捕了长期运营的俄语网络犯罪论坛XSS[.]is的疑似管理员。据法国《世界报》报道，巴黎检察官办公室7月23日周三宣布，这名被认为是全球最重要网络犯罪平台之一的核心运营者已在基辅被羁押。 6、JS form-data库高危漏洞致数百万应用面临代码执行风险 https://www.freebuf.com/articles/web/441118.html 广泛使用的 JavaScript form-data 库近日曝出高危安全漏洞（CVE-2025-7783），可能导致数百万应用程序面临代码执行攻击风险。该漏洞源于该库使用可预测的 Math.random() 函数生成多部分表单编码数据的边界值，攻击者可借此操纵 HTTP 请求，将恶意参数注入后端系统。 7、TP-Link NVR安全更新：命令注入漏洞可能导致RCE https://www.freebuf.com/articles/system/441154.html TP-Link 近日发布安全公告，警告其 VIGI NVR1104H-4P V1 和 VIGI NVR2016H-16MP V2 两款网络视频录像机（NVR）设备存在两个关键的操作系统命令注入漏洞（CVE-2025-7723 和 CVE-2025-7724）。这两个漏洞的 CVSS 评分分别为 8.5 和 8.7 分，攻击者可利用它们在底层系统上执行任意命令。 8、施耐德电力运营系统曝远程代码执行漏洞 https://www.freebuf.com/articles/ics-articles/441122.html 施耐德电气EcoStruxure Power Operation（EPO）工业控制系统被曝存在远程代码执行（RCE, Remote Code Execution）漏洞，目前该漏洞已被攻击者主动利用，且相关概念验证代码（PoC, Proof of Concept）已在公开渠道出现。 9、大华IP摄像头曝缓冲区溢出高危漏洞 https://www.freebuf.com/articles/network/441157.html 大华科技（Dahua Technology）近日发布安全公告，针对其IP摄像头产品线中两个高危漏洞进行修复。这两个漏洞编号为CVE-2025-31700和CVE-2025-31701（CVSS评分均为8.1），均由缓冲区溢出（buffer overflow）缺陷引发，远程攻击者可利用这些漏洞导致设备崩溃或执行任意代码。 10、三星服务器曝18个高危漏洞，可致系统完全沦陷 https://www.freebuf.com/articles/system/441159.html 三星广泛使用的数字标牌管理平台MagicINFO 9 Server近日被曝存在多个安全漏洞。安全研究人员披露了18个严重漏洞，其中部分漏洞的CVSS评分高达9.8，攻击者可借此发动多种高危害攻击，包括代码注入、Webshell上传以及利用硬编码凭证绕过认证等。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。