1、APT组织Void Blizzard对关键领域发动间谍攻击 https://www.microsoft.com/en-us/security/blog/2025/05/27/new-russia-affiliated-actor-void-blizzard-targets-critical-sectors-for-espionage/ 微软威胁情报团队披露，俄罗斯APT组织Void Blizzard正针对全球能源、通信及政府机构展开系统性网络间谍活动。该组织通过伪装成技术文档的钓鱼邮件投递恶意载荷，并利用工业控制系统（ICS）软件中的未修复漏洞渗透目标网络，窃取敏感数据与运营技术配置信息。攻击活动覆盖东欧、北美及亚太地区，至少涉及12家关键基础设施供 2、加拿大新斯科舍电力公司遭勒索软件攻击 https://securityaffairs.com/178323/data-breach/nova-scotia-power-confirms-it-was-hit-by-ransomware-but-hasnt-paid-the-ransom.html 加拿大新斯科舍电力公司确认，其在四月份遭受勒索软件攻击。此次攻击导致客户的敏感信息被窃取，这些信息包括姓名、电话号码、电子邮件地址、邮寄地址和服务地址、项目参与信息、出生日期、账户历史等。该公司已在五月中旬披露了数据泄露事件，并向受影响的客户发出了通知。尽管该公司声称未在任何已知的暗网泄露网站上找到其信息，但已确认威胁行为者发布了被盗数 3、Silver远程控制木马源码泄露 https://hackread.com/silverrat-source-code-leaked-online-you-need-to-know/ Silver远程控制木马的完整源代码曾被短暂泄露至GitHub仓库“SilverRAT - FULL - Source - Code”，随后该仓库被平台迅速删除。尽管这个仓库的存活时间不足24小时，但其内容已被存档并在安全研究圈内传播。该恶意软件由与叙利亚有关联的组织Anonymous Arabic开发，首次出现于2023年，具备加密货币钱包监控、数据窃取、浏览器密码盗取以及隐藏远程控制等多项高危功能，并且通过恶意软件即服务模式在地下论坛流通。 4、GitHub MCP服务漏洞可导致私有仓库被未授权访问 https://gbhackers.com/critical-github-mcp-server-vulnerability/ GitHub MCP服务被发现存在严重安全漏洞，攻击者可利用恶意GitHub问题来操控用户代理，进而威胁私有仓库的数据安全。Invariant Labs通过自动化安全扫描器发现了这一漏洞，攻击者能够借此在公共仓库中创建恶意问题，并在其中嵌入提示注入有效载荷。当用户使用集成了GitHub MCP服务的工具查询公共仓库中的开放问题时，用户代理会获取到恶意内容，从而触发有毒代理流。这一流程会导致用户代理将私有仓库的数据拉入上下文，并通过在公共仓库中自动创建的拉取请求将数据 5、Everest勒索软件泄露可口可乐员工数据 https://hackread.com/everest-ransomware-leaks-coca-cola-employee-data/ 勒索软件组织Everest在暗网泄露了可口可乐公司中东地区959名员工的敏感数据，这些数据包括个人信息、行政结构信息以及内部HR信息等。泄露的信息涵盖员工全名、地址、家庭和婚姻证明文件、签证信息、护照信息、电话号码、银行账户详情、工资记录以及电子邮件地址等。此外，泄露的文件还包含可口可乐公司的内部管理账户结构以及组织层级信息。此次数据泄露增加了可口可乐公司的网络安全风险，相关数据可能被不法分子用于网络钓鱼、社会工程攻击等多种网络犯罪活动。同时，员工个人 6、美国病理实验室遭勒索攻击导致23.5万患者数据泄露 https://securityaffairs.com/178295/data-breach/marlboro-chesterfield-pathology-data-breach-impacted-235911-individuals.html 美国北卡罗来纳州的Marlboro - Chesterfield Pathology（MCP）病理实验室遭遇了SafePay勒索软件的攻击，此次攻击导致235,911名患者的敏感信息泄露。攻击者通过未经授权的方式访问实验室内部系统，窃取了包括患者姓名、地址、出生日期、医疗治疗记录以及含有保单号的健康保险数据等信息。 7、近百万比特量子计算机一周内可破解RSA加密算法 https://www.anquanke.com/post/id/307807 5月21日，谷歌量子人工智能部门（Google Quantum AI）在arXiv上发表以“How to factor 2048 bit RSA integers with less than a million noisy qubits ”（如何利用不足100万个含噪量子比特分解2048位RSA整数）为题的论文。研究表明，采用不足100万个含噪量子比特的量子计算机，可在不到一周时间内破解2048位RSA加密密钥（当前网络数据安全的主流标准），这一数值仅为作者本人在2019年预测的约2000万量子比特的1/20！ 8、公安机关公布网络攻击来源为中国台湾民进党当局有关黑客组织 https://www.secrss.com/articles/79140 记者27日从广州市公安局天河区分局了解到，广州某科技公司遭境外黑客组织网络攻击事件发生后，公安机关立即组织技术团队对提取的攻击程序和系统日志进行技术分析和溯源追踪，初步查明该公司遭受的网络攻击系中国台湾民进党当局豢养的黑客组织所为。 9、Arm Mali GPU 漏洞导致MTE绕过并执行任意内核代码 https://gbhackers.com/arm-mali-gpu-vulnerability-enables-bypass-of-mte/ 一个关键漏洞，被标识为 CVE-2025-0072，已在 Arm Mali GPU 驱动程序中被发现，对使用 Command Stream Frontend (CSF) 架构的新款 Mali GPU 设备构成了重大威胁，包括 Google 的 Pixel 7、8 和 9 系列。 10、黑客利用 Craft CMS 漏洞注入挖矿恶意软件 https://gbhackers.com/hackers-exploit-craft-cms-vulnerability/ 威胁行为者利用了一个被标识为 CVE-2025-32432 的关键远程代码执行（RCE）漏洞，该漏洞存在于 Craft 内容管理系统（CMS）中。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Katz窃密木马攻击主流浏览器窃取登录信息 https://cybersecuritynews.com/katz-stealer-attacking-chrome-edge-brave-firefox/ 研究人员发现，新型恶意软件Katz窃密木马被曝针对Chrome、Edge、Brave及Firefox等主流浏览器发起攻击，通过多阶段感染链窃取用户密码、加密货币钱包数据及通信平台凭证。该恶意软件可绕过Chrome的应用绑定加密技术，直接从浏览器进程中提取解密密钥，导致敏感数据外泄。 2、假冒的DigiYatra应用程序攻击印度用户窃取财务数据 https://cybersecuritynews.com/fake-digiyatra-apps-attacking-indian-users/ 研究人员发现，攻击者利用假冒的DigiYatra品牌开展网络钓鱼活动，目标锁定印度的航空旅客。攻击者创建了一个名为digiyatra.in的欺骗性网站，该网站伪装成官方政府支持的数字旅行平台，表面上提供合法的航班预订服务，实则意图收集用户的敏感个人和财务信息。 3、Silent勒索组织将通过诈骗电话攻击律师事务所 https://hackread.com/fbi-silent-ransom-group-law-firms-via-scam-calls/ 美国联邦调查局（FBI）向美国律师事务所发出警告，一个名为Silent（简称SRG，也被称为Luna Moth或Chatty Spider）的勒索组织正在通过诈骗电话和网络钓鱼邮件，针对法律行业发起攻击。自2023年起，律师事务所已成为SRG的主要攻击目标。该集团通过发送钓鱼邮件以及进行社会工程学电话诱导，让受害者下载远程访问软件，进而获取公司系统的访问权限。一旦攻击成功，SRG便会发送赎金信，要求支付赎金，以防止数据泄露或数据被出售。 4、macOS热门Cursor编辑器存漏洞可导致敏感数据泄露 https://cybersecuritynews.com/vulnerability-in-popular-macos-app-cursor/ 研究人员发现，在macOS上流行的AI驱动代码编辑器Cursor存在一个严重的安全漏洞。该漏洞可让恶意软件绕过苹果内置的隐私保护措施，未经授权访问敏感用户数据。此漏洞利用了Cursor应用程序所使用的Electron框架中的一个配置错误，具体而言是启用了“RunAsNode”熔断器，这使得攻击者能够以应用程序现有的隐私权限执行任意代码。 5、Apache Tomcat漏洞可导致远程代码执行 https://cybersecuritynews.com/apache-tomcat-vulnerability-poc-released/ Apache Tomcat中的一个关键路径等价漏洞（CVE-2025-24813）在概念验证（PoC）代码公开发布后，已被恶意攻击者积极利用。该漏洞在特定服务器配置下，允许攻击者进行未经身份验证的远程代码执行，进而影响全球数百万基于Java的Web应用程序。此漏洞与Apache Tomcat内部处理文件路径的方式有关，尤其是服务器处理部分PUT请求以及会话文件持久化的方式。受该漏洞影响的Apache Tomcat版本范围广泛，具体包括11.0.0-M 6、GIMP 图像处理软件漏洞：恶意图片可导致代码执行 https://www.freebuf.com/articles/system/432455.html 开源图像处理软件 GIMP（GNU Image Manipulation Program）近日被发现存在严重安全漏洞，攻击者可通过精心构造的恶意图片文件触发缓冲区溢出（buffer overflow）漏洞，最终实现远程代码执行（RCE, Remote Code Execution）。 7、Mesh Wi-Fi 系统曝高危漏洞导致数据帧注入攻击 https://www.freebuf.com/articles/network/432454.html 研究人员发现主流Mesh Wi-Fi系统中存在一个关键设计缺陷（CVSS评分9.1），攻击者可利用该漏洞实施A-MSDU（聚合MAC服务数据单元）欺骗攻击，实现无线数据帧注入。目前已有概念验证（PoC）代码公开。 8、阿迪达斯遭遇数据泄露事件，客户信息遭黑客窃取 https://www.freebuf.com/articles/database/432409.html 德国运动用品制造商阿迪达斯近日遭遇数据泄露事件。据媒体报道，黑客通过攻击一家客户服务外包商获取了阿迪达斯的客户数据。2025年5月23日，阿迪达斯公司发表声明称："我们已立即采取所有必要措施来控制事件影响。"该公司表示，此次攻击未涉及支付密码或信用卡等敏感财务信息，被盗数据主要为曾联系过客服热线的特定客户的联系方式。 9、GhostSpy：高级安卓远控木马窃取银行信息并绕过安全防护 https://www.freebuf.com/articles/endpoint/432439.html 网络安全公司CYFIRMA的研究人员发现了一款高度先进的安卓远程访问木马（RAT，Remote Access Trojan），名为GhostSpy。该恶意软件能在受害者毫无察觉的情况下实施全方位监控、数据窃取和设备控制，展现了移动端间谍软件的进化程度。它通过滥用系统级API、社会工程学和反卸载机制，在受感染设备上维持持久访问。 10、Ghostscript 漏洞导致加密 PDF 文件泄露明文密码 https://www.freebuf.com/articles/database/432311.html 广泛使用的 PDF 和 PostScript 处理器 Artifex Ghostscript 存在一个漏洞，可能无意中将明文密码嵌入加密的 PDF 文件中，从而使用户数据面临风险。该漏洞编号为 CVE-2025-48708，影响 10.05.1 之前的所有版本。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Cetus Protocol遭智能合约漏洞攻击损失2.23亿美元 https://therecord.media/decentralized-crypto-platform-cetus-theft 基于Sui区块链的去中心化交易所Cetus Protocol因智能合约存在漏洞而遭到黑客攻击，损失金额约达2.23亿美元。攻击者利用伪造的代币（例如BULLA）操纵价格曲线和储备计算方式，通过闪电交换手段抽空了流动性池中的真实资产。Cetus团队联合Sui基金会紧急采取行动，冻结了1.62亿美元被盗资金，但仍有约6100万美元被转移至以太坊网络，并兑换成ETH以掩盖资金踪迹。 2、谷歌紧急修复Chrome高危零日漏洞CVE-2025-4664 https://hackread.com/chrome-0-day-cve-2025-4664-windows-linux-browser-activity/ 谷歌紧急修复了Chrome浏览器的高危零日漏洞CVE-2025-4664。该漏洞会影响Windows、Linux及macOS平台上的Chrome和Chromium浏览器（版本低于136.0.7103.113），攻击者能够借助精心构造的HTML页面窃取跨源敏感数据（例如OAuth令牌、会话ID），并且该漏洞已被确认被用于实际攻击。攻击者会利用Link头部强制设置referrer-policy:unsafe-url，借助第三方图片资源捕获 3、伪造Ledger应用针对macOS用户恶意攻击窃加密资产 https://www.bleepingcomputer.com/news/security/hackers-use-fake-ledger-apps-to-steal-mac-users-seed-phrases/ 网络安全公司Moonlock Lab披露了多起针对macOS用户的恶意攻击活动。攻击者通过伪造Ledger Live应用（例如，借助Odyssey和AMOS等恶意软件）诱导用户输入24词种子短语或恢复短语，进而窃取加密资产。种子短语或恢复短语是一组由12个或24个随机单词组成的字符串，用户可在钱包丢失或忘记访问密码时，使用它来恢复数字资产。此类攻击自2024年8月开始活跃，至今 4、TikTok视频滥用AI技术传播窃密木马 https://www.bleepingcomputer.com/news/security/tiktok-videos-now-push-infostealer-malware-in-clickfix-attacks/ 黑客在TikTok平台上发布由AI生成的虚假教程视频，诱导用户执行PowerShell命令，进而下载Vidar和StealC窃密木马。攻击者将这些虚假视频伪装成软件激活指南，利用TikTok的算法扩大传播范围，其中单条视频的观看量就超过了50万次。恶意脚本通过第三方域名进行加载，能够窃取用户的浏览器凭证、加密货币钱包信息以及多因素认证数据，并通过修改注册表来实现对用户设备的 5、欧洲刑警组织打击全球勒索软件网络 https://thehackernews.com/2025/05/300-servers-and-35m-seized-as-europol.html 欧洲刑警组织主导的“终局行动”有了最新进展。该行动针对全球范围内的勒索软件网络展开，共查封约300台服务器、650个域名，发布了针对20个目标的逮捕令，并在行动周期间扣押了价值350万欧元的加密货币。此次行动重点打击了新的恶意软件变种以及去年打击后又重新出现的组织，例如Bumblebee、Lactrodectus、QakBot等。德国联邦刑事警察局已对37名身份已确定的行动者发起刑事诉讼。此外，该行动还导致270名暗网供应商和买家在十个国家 6、全球执法联合行动“SpecTor”逮捕270名暗网犯罪者 https://www.bleepingcomputer.com/news/security/police-arrests-270-dark-web-vendors-buyers-in-global-crackdown/ 由欧洲刑警组织（Europol）协调的跨国执法行动“SpecTor”在全球范围内展开，旨在针对暗网毒品交易、武器贩卖以及数据犯罪展开打击。该行动覆盖了美国、德国、法国等34个国家，共逮捕了270名暗网市场（如AlphaBay、Hydra）的供应商与买家，查获了价值5.3亿美元的加密货币与现金、8.2吨毒品以及97件武器，并关闭了12个暗网交易平台。 7、Bumblebee加载器通过SEO投毒和域名仿冒手段传播 https://www.bleepingcomputer.com/news/security/bumblebee-malware-distributed-via-zenmap-winmrt-seo-poisoning/ 安全研究人员发现，Bumblebee恶意软件正通过SEO投毒和域名仿冒手段大规模传播。攻击者注册了与合法软件高度相似的域名，并利用搜索引擎优化技术，使这些域名在Google和Bing的搜索结果中排名靠前，从而诱导用户下载含有恶意代码的安装包。在本次攻击活动中，攻击者仿冒了Zenmap、WinMTR及Milestone XProtect等工具的下载页面，提供经过篡改的MSI安装 8、Zimbra界面存在XSS漏洞可影响12.9万台服务器 https://hackread.com/zimbra-cve-2024-27443-xss-flaw-hit-sednit-servers/ Zimbra Collaboration Suite（ZCS）的CalendarInvite功能存在XSS漏洞（CVE-2024-27443）。由于系统未正确检查邮件日历标题中的传入信息，攻击者能够将恶意代码嵌入到特制邮件中。当用户使用经典Zimbra界面打开这类邮件时，恶意代码会自动运行，进而访问用户会话，危及账户安全。该漏洞影响ZCS 9.0（补丁1 - 38）和10.0（最高至10.0.6）版本。截至2025年5月22日，Censys发现全球存 9、NETGEAR路由器漏洞允许攻击者获取管理员访问权限 https://gbhackers.com/netgear-router-flaw 研究人员发现，NETGEAR DGND3700v2无线路由器存在严重的认证绕过漏洞（CVE-2025-4978）。该漏洞存在于路由器固件的隐藏后门机制中，影响版本为V1.1.00.15_1.00.15NA。攻击者通过访问未认证的端点“/BRS_top.html”，能够将内部标志“start_in_blankstate”设置为1，从而绕过HTTP基本认证检查，获得路由器管理界面的完全访问权限，可访问的内容包括DNS设置、防火墙配置以及Wi-Fi凭据等。NETGEAR已发布补丁固件V1.1.00.26来解决该问题 10、超1.84亿条账号密码泄露，涉苹果、谷歌等众多知名公司 https://www.secrss.com/articles/79028 今年5月初，安全研究员Jeremiah Fowler发现了一个在公网暴露的Elastic数据库，里边包含184162718条记录，总数据量超过47GB。涉及苹果、脸书和谷歌等平台的登录信息，以及多个国家政府相关的账号凭证。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、3AM勒索组织使用新型攻击链勒索企业 https://news.sophos.com/en-us/2025/05/20/a-familiar-playbook-with-a-twist-3am-ransomware-actors-dropped-virtual-machine-with-vishing-and-quick-assist/ Sophos披露，3AM勒索组织正利用一种新型攻击链渗透企业网络。攻击者通过语音钓鱼（Vishing）技术，伪装成IT支持人员，诱导目标员工启用微软的Quick Assist工具，进而远程控制其设备。此外，此次攻击还利用虚拟机（VM）作为跳板来隐藏恶意活动，以此规避安全检测。最终，3AM勒索软件 2、知名网络安全博客KrebsOnSecurity遭6.3Tbps DDoS攻击 https://hackread.com/krebsonsecurity-6-3-tbps-ddos-attack-aisuru-botnet/ 知名网络安全博客KrebsOnSecurity遭受了峰值达6.3Tbps的分布式拒绝服务（DDoS）攻击。。此次攻击由新型物联网僵尸网络Aisuru发起，该僵尸网络利用了全球数十万台被黑的路由器、数字录像机（DVR）等设备，通过UDP洪水攻击随机端口，每秒发送高达5.85亿个数据包。尽管攻击仅持续了45秒，但并未造成服务中断。Aisuru自2024年开始活跃，近期还整合了Cambium Networks路由器的零日漏洞，并通过Telegram以15 3、FBI和Europol联合打击Lumma Stealer僵尸网络 https://thehackernews.com/2025/05/fbi-and-europol-disrupt-lumma-stealer.html FBI和Europol携手多家私营企业，在一次行动中打击了Lumma Stealer僵尸网络。Lumma Stealer僵尸网络自2022年底开始活跃，其传播途径多样，包括钓鱼邮件、恶意广告等，主要窃取用户的登录凭证、浏览器数据等敏感信息。在此次行动中，执法部门与私营企业合作，查封了构成Lumma Stealer僵尸网络基础设施骨干的2300个域名，其中包含其用于部署恶意软件的五大登录面板，成功切断了恶意软件与受害者之间的通信，从而破坏了其 4、未修补的Versa Concerto漏洞可逃脱Docker并入侵主机 https://thehackernews.com/2025/05/unpatched-versa-concerto-flaws-let.html 安全研究人员发现，Versa Concerto平台存在多个严重漏洞，具体包括特权提升与Docker容器逃逸漏洞（漏洞编号为CVE-2025-34025，CVSS评分为8.6）、认证绕过漏洞（漏洞编号为CVE-2025-34026，CVSS评分为9.2）以及另一个由认证绕过进而导致远程代码执行的漏洞（漏洞编号为CVE-2025-34027，CVSS评分为10.0）。攻击者一旦利用这些漏洞，便能够完全控制应用程序以及底层主机系统。其中，CVE-202 5、Grafana修复CVE-2025-4123高危XSS漏洞 https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/ Grafana发布了12.0.0+security-01版本以及所有受支持版本的安全修补程序，以修复CVE-2025-4123高危跨站脚本（XSS）漏洞。此漏洞源于客户端路径遍历与开放重定向问题，攻击者可借此将用户重定向至恶意网站，并通过自定义前端插件执行任意JavaScript代码。与众多XSS漏洞不同的是，该漏洞的利用无需编辑权限。若Grafana启用了匿名访问功能，攻击的实施 6、Windows 10紧急更新修复了MIDI恢复问题 https://www.anquanke.com/post/id/307671 微软已经发布了带外更新,以修复导致Windows 10系统在安装2025年5月安全更新后启动BitLocker恢复的已知问题。要修复卡在 BitLocker 恢复提示符下的系统,请安装今天的 KB5061768 紧急更新,仅通过 Microsoft 更新目录提供。这也是一个累积更新,这意味着在部署影响设备的 BitLocker 恢复问题修复之前,您无需安装任何先前的更新。 7、Docker容器遭新型自复制Dero挖矿病毒攻击 https://www.freebuf.com/articles/432019.html 卡巴斯基实验室发现一起新型恶意软件攻击活动，该攻击将暴露的Docker容器转化为可自我复制的Dero加密货币挖矿机，且无需依赖命令控制服务器(C2)即可运行。 8、微软联合执法机构捣毁全球Lumma窃密软件网络 https://www.freebuf.com/news/432022.html 微软在国际执法机构的支持下开展全球打击行动，成功瓦解了一个从事大规模凭证窃取、金融欺诈和勒索软件攻击的恶意软件分发网络。此次行动针对的是Lumma Stealer（拉玛窃密软件），这款信息窃取类恶意软件被数百名威胁行为者用于从近40万台受感染的Windows设备中窃取敏感信息。这项协同行动由微软数字犯罪调查部门（DCU）、美国司法部、欧洲刑警组织以及私营部门的网络安全合作伙伴共同参与。各方联手查封了2300多个域名，彻底摧毁了Lumma的基础设施，切断了攻击者与受害者之间的联系。 9、马莎百货因勒索攻击运营中断数月，预计损失近30亿元 https://www.secrss.com/articles/78986 马莎百货披露，4月遭遇的勒索软件攻击致使其在线业务持续中断数月，预计7月才能完全恢复；受该事件受冲击，公司市值已蒸发约百亿元，预估损失约29亿元，公司将通过成本控制措施尽量降低损失金额。 10、TP-Link Archer AX50 路由器存在远程获取root权限漏洞 https://securityonline.info/poc-available-tp-link-archer-ax50-flaw-allows-remote-root-access/ TP-Link Archer AX50路由器存在高危漏洞（CVE-2025-40634），攻击者可远程执行任意代码，CVSS评分9.2。漏洞源于固件组件conn-indicator的缓冲区溢出，影响1.0.15之前版本。建议立即升级至修复版本1.0.15。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Hazy Hawk组织利用DNS记录劫持域名实施攻击 https://thehackernews.com/2025/05/hazy-hawk-exploits-dns-records-to.html 研究人员发现，一个名为HazyHawk的攻击组织利用DNS记录中的错误配置，劫持了包括美国疾病控制与预防中心在内的众多组织的云资源，例如亚马逊S3存储桶和微软Azure端点。劫持这些资源后，HazyHawk利用这些被劫持的域名诱导用户访问包含诈骗信息和恶意软件的网址。此次攻击涉及克隆合法网站内容以及利用流量分发系统等手段。 2、研究人员发现谷歌商店百款假冒Chrome扩展窃取用户数据 https://thehackernews.com/2025/05/100-fake-chrome-extensions-found.html 研究人员发现，谷歌官方商店中存在100余款恶意Chrome扩展程序，这些扩展程序伪装成广告拦截器、VPN工具，累计下载量已超过200万次。它们通过申请“读写浏览器数据”的权限，窃取用户的密码、加密货币钱包信息及社交媒体登录凭证，还会劫持搜索引擎结果，向用户推送钓鱼链接。攻击者利用混淆代码来绕过谷歌的审查机制，而且部分扩展程序与俄语黑客论坛存在关联。 3、SK Telecom称恶意软件入侵持续3年导致2700万用户数据泄露 https://www.bleepingcomputer.com/news/security/sk-telecom-says-malware-breach-lasted-3-years-impacted-27-million-numbers 韩国最大电信运营商SK Telecom披露了一起持续近三年的恶意软件攻击事件。该攻击始于2022年6月，黑客通过植入Web Shell以及25种恶意软件，成功渗透了23台服务器，并窃取了2700万用户的USIM数据。这些数据包括国际移动用户识别码（IMSI）、SIM认证密钥以及用户的短信和通讯录信息，此举导致SIM交换攻击的风险急剧增加。SK Telec 4、攻击者使用虚假的Facebook广告传播远程控制木马 https://thehackernews.com/2025/05/fake-kling-ai-facebook-ads-deliver-rat.html 研究人员发现，网络上出现了一种利用假冒Facebook页面和赞助广告诱导用户前往假冒网站下载恶意软件的攻击活动。该活动伪装成Kling AI平台，实际上却在分发远程控制木马，这可能导致2200万潜在受害者面临安全风险。在此次攻击中，恶意文件被伪装成图片或视频文件，但实际上是带有双扩展名和韩文填充字符的恶意Windows可执行文件，这些文件以ZIP压缩包的形式存在，并充当加载程序，用于启动远程访问木马和窃取程序。在与命令控制服务器建立联系后 5、vLLM曝高危远程代码执行漏洞，AI服务器面临攻击风险 https://www.anquanke.com/post/id/307614 关键漏洞(CVE-2025-47277)已在vLM中披露,vLM是大型语言模型(LLM)的高性能推理和服务引擎。该漏洞通过PyNcclPipe通信服务中不安全的反序列化错误实现远程代码执行(RCE),并且已分配了9.8的CVSS分数。 6、Lexmark打印机存在关键远程代码执行漏洞 https://www.anquanke.com/post/id/307605 Lexmark发布了针对关键漏洞的安全公告——CVE-2025-1127——影响其各种打印机型号。该漏洞是Lexmark设备嵌入式Web服务器中Path Traversal和Concurrent Execution漏洞的组合,可能允许攻击者远程执行任意代码。 7、微软宣布将后量子密码功能集成到Windows Insider和Linux系统 https://www.secrss.com/articles/78957 5月20日，微软宣布了后量子密码工作（PQC）的下一个重要里程碑：微软将为Windows Insider用户（Canary频道版本27852及更高版本）和Linux系统（SymCrypt-OpenSSL 1.9.0版本）提供后量子密码功能。 8、俄罗斯全国法院案件管理系统超三成档案遭恶意擦除 https://www.secrss.com/articles/78933 俄罗斯联邦审计院报告指出，一次针对国家案件管理系统和电子法院文件系统的网络攻击，导致约三分之一的案件档案遭到清除。这套名为“Pravosudiye”（俄语意为“正义”）的系统于去年10月遭遇黑客入侵，系统停摆长达一个月，严重影响了俄罗斯法院网站、通信网络及电子邮件服务的正常运作。 9、智谱清言、Kimi等APP被通报非法收集使用个人信息 https://www.secrss.com/articles/78911 5月20日，国家网络与信息安全信息通报中心通报了35款违法违规收集使用个人信息的移动应用，智谱清言、Kimi、猫箱、Wow等多款热门AI应用名列其中。 10、LockBit内部数据泄露：揭秘勒索软件联盟的运作内幕 https://www.freebuf.com/articles/es/431810.html 作为当前最活跃的勒索软件组织之一，LockBit上周遭遇数据泄露事件，其内部运作细节被公之于众。通过Tor网络上的洋葱站点短暂泄露的文件，为研究人员和安全专家提供了难得的机会，得以窥见LockBit如何运作其勒索软件即服务(RaaS)业务。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Go语言恶意软件利用漏洞部署XMRig挖矿木马 https://thehackernews.com/2025/05/go-based-malware-deploys-xmrig-miner-on.html 安全研究人员监测到一款基于Go语言的新型恶意软件在全球范围内活跃，该软件通过扫描暴露于公网的MySQL、Tomcat及WebLogic服务端口，利用漏洞植入XMRig挖矿木马，并具备跨平台传播、持久化驻留及反检测能力。攻击链涉及三个核心组件：Dropper脚本（Bash/PowerShell）、Go语言编写的扫描器及XMRig挖矿木马，所有组件均托管在同一控制服务器上。 2、RVTools官网遭入侵导致传播Bumblebee恶意软件 https://thehackernews.com/2025/05/rvtools-official-site-hacked-to-deliver.html RVTools的官方网站被黑客入侵，攻击者上传了被篡改的安装程序，该程序会下载为Bumblebee的恶意软件。RVTools的官方站点Robware.net和RVTools.com目前处于离线状态，该公司正在紧急恢复服务。用户被建议验证安装程序的哈希值，并检查用户目录中version.dll文件是否存在异常执行情况。 3、恶意PyPI软件包利用Instagram和TikTok API验证用户账户 https://thehackernews.com/2025/05/malicious-pypi-packages-exploit.html 研究人员发现，Python Package Index (PyPI) 仓库中出现了恶意软件包，这些恶意软件包用于验证被盗电子邮件地址是否与 TikTok 和 Instagram 账户相关联。这些软件包包括 checker-SaGaF、steinlurks 和 sinnercore。checker-SaGaF 通过向 TikTok 的密码恢复 API 和 Instagram 的账户登录端点发送 HTTP POST 请求，来验证电子邮件地址是否有效。ste 4、伪造的KeePass密码管理器传播KeeLoader窃密木马 https://www.bleepingcomputer.com/news/security/fake-keepass-password-manager-leads-to-esxi-ransomware-attack/ 研究人员发现了一个恶意的KeePass安装程序，该安装程序通过Bing广告推广虚假软件网站。由于KeePass是开源软件，攻击者修改了其源代码，构建了一个被木马化的版本——KeeLoader，该版本包含密码管理和密码窃取功能。研究人员进一步调查该攻击活动后发现，攻击者已建立了一个庞大的基础设施，用于分发伪装成合法工具的恶意程序以及用于窃取凭证的网络钓鱼页面。 5、科威特遭复杂网络钓鱼攻击 https://securityonline.info/kuwait-under-attack-230-domains-used-in-sophisticated-phishing-operation/ 自2025年初起，科威特的渔业、电信、保险等关键行业持续遭受复杂的网络钓鱼攻击。攻击者利用超过230个域名，主要将基础设施部署在Aeza International Ltd的服务器上，并借助共享SSH认证密钥等关联资产实施攻击。他们注册的域名模仿真实品牌，同时伪造网站界面，例如伪造科威特国家渔业公司网站，展示海鲜产品等内容以吸引受害者。此外，攻击范围不仅限于科威特，还波及巴林等海湾地区国家。 6、Serviceai数据泄露致50万患者信息暴露 https://hackread.com/serviceaide-leak-catholic-health-patients-records/ Serviceaide公司由于Elasticsearch数据库配置错误，导致约50万名患者的信息泄露，这些信息涵盖姓名、出生日期、处方信息、社安号码等敏感内容。泄露时间跨度为2024年9月19日至11月5日，该泄露情况于11月15日被发现，不过无法排除数据已被下载或滥用的可能性。 7、高拒绝服务风险：Tornado的默认解析器暴露应用程序 https://www.anquanke.com/post/id/307576 龙卷风Python Web框架中新披露的漏洞(CVE-2025-47287)通过过度日志记录将应用程序暴露给拒绝服务(DoS)攻击。该缺陷被分配为7.5的CVSS分数,将其归类为高严重性。 8、CISA最近将Chrome漏洞标记为被积极利用 https://www.anquanke.com/post/id/307583 周四,CISA警告美国联邦机构保护其系统免受利用Chrome网络浏览器中高严重性漏洞的持续攻击。Solidlab安全研究员Vsevolod Kokorin发现了这个漏洞(CVE-2025-4664),并于5月5日在线分享了技术细节。released security updates谷歌周三发布了安全更新以修补它。 9、Auth 0-PHP SDK严重漏洞，超过1600万下载量 https://www.anquanke.com/post/id/307568 Okta已经发布了一个关键的安全咨询警告开发人员和企业使用Auth0-PHP SDK关于一个严重漏洞,该漏洞可能允许攻击者通过对会话cookie的蛮力攻击获得未经授权的访问。 10、云存储大规模数据泄露事件，全球2000亿文件暴露在公网 https://www.freebuf.com/articles/database/431635.html 网络安全公司Cyble的研究人员发出警告，多个主流云服务商因存储桶配置错误导致约2000亿份文件可被公开访问。研究人员在漏洞分析过程中，共识别出分布在七大云平台上的66万个未受保护的存储桶。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、Modiloader恶意软件使用伪装驱动更新进行攻击 https://cybersecuritynews.com/modiloader-malware-attacking-windows-users/ 安全公司Cyble披露，一种名为Modiloader的新型恶意软件通过伪造硬件驱动程序更新进行传播，目前已感染全球超过2.3万台Windows设备。攻击者将恶意安装包伪装成惠普、戴尔等品牌的驱动更新程序，诱导用户从钓鱼网站或被劫持的合法CDN节点下载。该恶意软件加载后，会植入模块化后门，窃取浏览器凭证、加密货币钱包信息及系统信息，并下载Cobalt Strike等工具实施横向渗透。Modiloader利用经过签名的旧版驱动文件来绕过驱动程序验证， 2、黑客利用Confluence服务器漏洞实现RDP访问和远程代码执行 https://cybersecuritynews.com/hackers-exploiting-confluence-server/ 研究人员发现了一种复杂的攻击活动，攻击者利用Atlassian Confluence服务器中已知的漏洞CVE-2023-22527来部署勒索软件。该漏洞属于模板注入漏洞，攻击者能够在未打补丁的服务器上执行任意命令，进而获得初始访问权限。在2024年6月的入侵行动中，攻击者展现出了极大的耐心，从初始漏洞利用到最终勒索软件部署，他们等待了大约62小时。攻击链始于对Confluence漏洞的利用，这一步骤允许攻击者在目标系统上执行任意命令。成功利用漏洞后，攻击者部 3、Crawlomatic插件曝高危漏洞可致网站遭远程接管 https://thecyberexpress.com/crawlomatic-plugin-hit-by-cve-2025-4389/ WordPress插件Crawlomatic Multipage Scraper Post Generator被披露存在高危漏洞（CVE-2025-4389）。攻击者可通过未授权的文件上传操作实现远程代码执行（RCE），进而完全控制受影响的网站。该漏洞源于插件中的crawlomatic_generate_featured_image()函数未对上传的文件类型进行验证，这导致攻击者能够通过构造恶意请求，直接将WebShell等恶意文件上传至服务器，且无需任何 4、Firefox零日漏洞允许攻击者执行恶意代码 https://cybersecuritynews.com/firefox-0-day-vulnerabilities/ Mozilla发布了紧急安全更新，成功修复了Firefox中的两个关键漏洞（CVE-2025-4918和CVE-2025-4919）。这些漏洞可能使攻击者能够在用户系统上执行恶意代码。攻击者可以通过诱导用户访问恶意制作的网站来利用这些漏洞，进而触发越界写入操作并执行任意代码。受影响的Firefox版本包括110.0至138.0.3，同时，受影响的Firefox ESR版本包括102.0至128.10.0。这些漏洞的CVSS评分为8.8分，表明其风险极高。因此，用户应立即将 5、大众汽车连接应用程序漏洞导致车主个人数据泄露 https://cybersecuritynews.com/volkswagen-car-hacked/ 安全研究员Vishal Bhaskar发现，大众汽车的My Volkswagen应用程序存在严重安全漏洞。攻击者可以利用车辆的VIN号码，通过简单的手段访问用户数据，而该号码通常可在大多数汽车的挡风玻璃上看到。研究人员指出了三个关键安全漏洞：内部凭证泄露、通过VIN号暴露的个人详细信息以及完整的车辆服务历史记录访问权限。这些漏洞可能使潜在攻击者获取车辆位置、发动机健康状况、燃油统计和轮胎压力数据；获取车主的个人信息，包括家庭住址和驾驶执照详情；查看完整的车辆服务历史记录以及客户投诉；甚至 6、美国FBI警告：AI语音诈骗正冒充政府高官行骗 https://hackread.com/fbi-warn-ai-voice-scams-impersonate-us-govt-officials/ FBI警告AI语音伪造技术被用于冒充美国高官实施钓鱼攻击，通过短信和语音诱导点击恶意链接窃取信息，威胁政府官员及国家安全。AI技术滥用使诈骗更逼真，专家提醒警惕伪造号码，现有系统难识别。 7、glibc漏洞威胁数百万Linux系统安全 可导致任意代码执行 https://securityonline.info/glibc-vulnerability-cve-2025-4802-puts-millions-of-linux-systems-at-risk-of-code-execution/ GNU C库（glibc）漏洞CVE-2025-4802影响静态setuid二进制文件，错误处理LD_LIBRARY_PATH可能导致执行恶意代码。需升级至glibc 2.39并审计静态setuid程序。 8、Windows远程桌面网关UAF漏洞可导致远程代码执行 https://cybersecuritynews.com/windows-remote-desktop-gateway-uaf-vulnerability/ 微软RD Gateway高危漏洞(CVE-2025-21297)可致远程代码执行，影响2016-2025版Windows Server。漏洞由线程同步问题引发，CVSS评分8.1。微软已发布补丁修复，建议立即更新并监控异常连接。 9、iOS内核漏洞可在非越狱状态下修改文件系统 https://securityonline.info/poc-released-ios-kernel-flaw-allows-file-system-modification/ 苹果修复内核漏洞CVE-2025-24203（dirtyZero/mdc0），该漏洞允许应用修改系统文件，影响iOS 16.0-18.3.2版本，利用内存管理标志位绕过权限检查，已被用于系统定制工具，存在安全风险。 10、ChatGPT推出Codex,一种用于软件编程的AI工具 https://www.anquanke.com/post/id/307513 OpenAI正在为ChatGPT推出“Codex”,ChatGPT是一个AI代理,可自动执行软件工程师的编程任务。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、攻击者使用钓鱼邮件攻击拉美六国 https://thehackernews.com/2025/05/horabot-malware-targets-6-latin.html 安全研究人员发现，新型Horabot银行木马通过伪装成政府税务通知的钓鱼邮件，在巴西、墨西哥、阿根廷等六个拉丁美洲国家进行攻击。该恶意软件利用伪造的Windows更新弹窗诱导用户安装后门程序，一旦安装，便能够窃取浏览器的Cookie、记录键盘输入以及截取屏幕画面，甚至远程操控设备发起银行转账。巴西网络安全中心已确认，超过200家企业网络遭到渗透，部分金融机构的单笔损失高达37万美元。趋势科技通过溯源发现，攻击基础设施与巴西地下犯罪论坛存在技术关联，推测 2、新型.NET加载器持续攻击Windows系统投递恶意载荷 https://cybersecuritynews.com/new-net-multi-stage-loader-attacking-windows-systems/ 自2022年初以来，一款复杂的.NET恶加载器持续对Windows系统发起攻击，它通过三阶段部署机制来投递窃密木马、远程控制木马等恶意载荷。在初始阶段，该加载器伪装成无害的.NET可执行文件，其中包含加密组件；进入第二阶段后，它利用.NET DLL来处理参数，并从位图资源中解密出恶意代码；到了第三阶段，它会在内存中部署最终载荷，以此避免被检测。最新变种采用了位图资源来隐藏代码，并应用了复杂混淆技术，从提升隐蔽性。该加载器主要用 3、Coinbase遭未知网络攻击导致客户数据泄露 https://thehackernews.com/2025/05/coinbase-agents-bribed-data-of-1-users.html 加密货币交易所Coinbase披露，其系统遭未知网络犯罪分子入侵，导致少量客户账户数据被窃取。经调查发现，攻击者以现金为诱饵，诱使一小部分海外客户协助从客户支持工具中复制数据，这些客户在不知情的情况下充当了攻击者的“代理”。攻击者的核心目的是收集客户列表，伪装成Coinbase官方身份，进而欺骗客户交出加密货币资产。2025年5月11日，攻击者向Coinbase发起勒索，索要2000万美元赎金，并声称掌握部分客户账户信息及内部文件，截至目 4、HTTPBot僵尸网络发起200余次精准DDoS攻击 https://thehackernews.com/2025/05/new-httpbot-botnet-launches-200.html 一种名为HTTPBot的新型僵尸网络恶意软件引发了网络安全研究员的关注。HTTPBot通过高度模拟HTTP洪水攻击以及采用动态特征混淆技术，成功绕过了传统基于规则的检测机制。该恶意软件基于Golang语言开发，专门针对Windows系统。在发起攻击时，它会隐藏图形用户界面，操纵Windows注册表以实现开机自启动，并与命令控制服务器建立联系，根据接收到的指令对特定目标发起HTTP洪水攻击，同时还支持多种攻击模块。自2025年4月起至相关报道发布时，HT 5、攻击者通过钓鱼邮件部署Remcos远程控制木马 https://thehackernews.com/2025/05/fileless-remcos-rat-delivered-via-lnk.html 网络安全公司Qualys发现了一起针对全球企业的钓鱼攻击活动，攻击者使用内存驻留技术部署了Remcos远程控制木马。在此次攻击中，攻击者利用伪装成税务文档的ZIP文件来分发恶意LNK文件，这些LNK文件的图标被伪装成PDF样式。攻击者还通过mshta.exe执行混淆的HTA文件，触发多阶段的PowerShell脚本加载器，最终在内存中直接运行Remcos远程控制木马。本次攻击的目标涵盖了金融、制造行业以及政府机构。 6、FrigidStealer伪造Safari更新攻击macOS窃取数据 https://hackread.com/frigidstealer-malware-macos-fake-safari-browser-update/ 2025年2月，首次曝光的FrigidStealer恶意软件正在全球范围内通过伪造浏览器更新的方式攻击macOS用户。该恶意软件属于Ferret家族，由TA2726和TA2727黑客组织联合运营。它通过受感染的网站注入恶意JavaScript代码，诱使用户下载伪装成Safari或Chrome更新的恶意DMG文件。攻击过程中，该恶意软件利用AppleScript骗取用户密码，以此绕过Gatekeeper安全机制，并安装Bundle ID为co 7、越来越多的勒索组织使用Skitnet后渗透框架实施网络攻击 https://www.bleepingcomputer.com/news/security/ransomware-gangs-increasingly-use-skitnet-post-exploitation-malware/ 安全公司Prodaft披露了一款新型恶意软件Skitnet（代号“Bossnet”），该软件正在成为主流勒索团伙的标准后渗透工具。自2024年4月起，该框架在地下论坛RAMP上出售，此后已被BlackBasta、Cactus等至少7个勒索组织用于实际攻击。攻击者通过Rust加载器部署经过ChaCha20加密的Nim二进制文件，建立DNS反向Shell以实现隐蔽通信 8、以色列抓获Nomad Bridge跨链协议攻击主犯 https://www.bleepingcomputer.com/news/legal/israel-arrests-new-suspect-behind-nomad-bridge-190m-crypto-hack/ 以色列国家网络犯罪部门在特拉维夫逮捕了涉嫌策划2024年Nomad Bridge跨链协议攻击的主犯“K1”。此次攻击导致价值1.9亿美元的加密货币被盗。嫌疑人通过逆向工程该协议的智能合约，利用重入攻击漏洞劫持了跨链验证节点，从而在以太坊与Avalanche网络之间伪造资产转移凭证。执法部门联合FBI和Chainalysis公司追踪发现，被盗资金通过Railgun混币器和Chan 9、微软KB5037771更新致Win10 22H2部分设备BitLocker异常 https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-may-windows-10-updates-trigger-bitlocker-recovery/ 微软确认，KB5037771更新导致部分运行Windows 10 22H2版本的设备触发了BitLocker恢复模式。该问题是由UEFI固件与TPM 2.0芯片之间的交互异常引起的，更新后系统错误地判定安全启动配置发生了变更，进而强制要求用户输入48字符的恢复密钥。受影响的设备主要集中在戴尔OptiPlex 7090、惠普EliteDesk 800 G6以及联 10、黑客组织Scattered Spider开始攻击美国零售商 https://hackread.com/hackers-targeting-us-retailers-uk-attacks-google/ 谷歌网络安全专家发出警告，此前针对英国零售商发动攻击的Scattered Spider黑客组织，如今已开始将目标转向美国零售商。此次攻击美国零售商的黑客所使用的技术和程序，与之前英国零售商遭遇攻击时攻击者所采用的手段相似。Scattered Spider（也被称为UNC3944）是近期英国哈罗德百货、合作集团以及马莎百货遭受攻击事件的主要嫌疑人。自2023年初以来，UNC3944已针对多个行业发动了攻击，这些行业包括技术、电信、金融服务、业务流程外包、 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

1、“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马 https://mp.weixin.qq.com/s/ZsOJzR8zRuomloJAYr6XsA 安天CERT发现“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马，若用户下载该网站的WPS Office，实际下载的是托管在OSS中的虚假安装程序。该程序执行后，在临时文件夹%temp%中释放执行一个正常的WPS安装程序，以此迷惑用户，并在C:\ProgramData文件夹中释放三个文件，执行其中的Shine.exe程序后加载恶意libcef.dll文件，该DLL读取1.txt文件，从而在内存中执行原名称为“Install.dll”的文件，调用其Shellex导出函数，最终执行Gh 2、APT28利用MDaemon零日漏洞攻击政府邮件服务器 https://thehackernews.com/2025/05/russia-linked-apt28-exploited-mdaemon.html 网络安全公司ESET发现，与俄罗斯有关的APT28组织自2023年起利用包括MDaemon在内的多个网络邮件服务器漏洞开展间谍活动，主要针对东欧政府和防务公司，同时也波及非洲、欧洲和南美的政府机构。攻击者通过电子邮件发送包含跨站脚本（XSS）攻击的恶意内容，诱使目标在易受攻击的邮件门户中打开邮件，进而在浏览器中执行恶意JavaScript代码。成功利用漏洞后，攻击者可窃取网络邮件凭证、邮件内容和联系人信息。 3、恶意npm包利用Unicode隐写术与谷歌日历分发载荷 https://thehackernews.com/2025/05/malicious-npm-package-leverages-unicode.html 研究人员发现了一个名为“os-info-checker-es6”的恶意软件包，该软件包伪装成操作系统信息工具，利用Unicode隐写术来隐藏初始恶意代码，并通过谷歌日历活动短链接充当动态下载器，以此投放下一阶段的有效载荷。这个恶意软件包由用户“kim9123”发布，截至5月15日，已被下载2001次。其关联的依赖包（如“skip-tot”）以及下游组件（如“vue-dev-serverr”）进一步扩大了攻击面。 4、CTM360发现针对Meta商业用户的钓鱼攻击激增 https://thehackernews.com/2025/05/ctm360-identifies-surge-in-phishing.html 安全公司CTM360发现了一项名为“Meta Mirage”的全球性钓鱼攻击活动，该活动专门针对使用Meta商业套件（Business Suite）的企业用户，旨在劫持高价值账户（例如广告管理账户及品牌官方页面）。攻击者伪装成Meta官方，发送虚假通知，声称用户存在政策违规、账户将被停用或需要进行紧急验证，以此诱导用户通过钓鱼页面泄露密码、一次性验证码（OTP）以及浏览器Cookie。截至报告发布时，已发现超过14,000个恶意URL，其中78 5、攻击者利用三星MagicINFO 9漏洞部署Mirai僵尸网络 https://thehackernews.com/2025/05/samsung-patches-cve-2025-4632-used-to.html 三星MagicINFO 9 Server被曝存在一个高危路径遍历漏洞（CVE-2025-4632），该漏洞允许攻击者以系统权限向任意文件写入内容。此漏洞实际上是2024年已修复的CVE-2024-7399漏洞的补丁绕过漏洞。自4月30日SSD Disclosure公开该漏洞的概念验证（PoC）后，它迅速被黑产组织利用。研究人员发现，攻击者利用此漏洞部署了Mirai僵尸网络。 6、利用Bitpixie漏洞可在数分钟内绕过BitLocker加密 https://www.freebuf.com/articles/database/431192.html 安全研究人员近日展示了一种纯软件技术，可在无需物理工具（如螺丝刀、焊枪）或硬件破解的情况下，成功绕过微软BitLocker加密防护。通过利用名为Bitpixie（CVE-2023-21563）的漏洞，红队成员与攻防安全专家能够从内存中提取BitLocker卷主密钥（VMK），在五分钟内完整解密受保护的Windows设备。Compass Security研究员Marc Tanner在红队评估报告中指出："该漏洞利用过程具有非侵入性，既不需要永久性设备改造，也无需获取完整磁盘映像"。 7、Node.js 高危漏洞警报：可导致远程系统崩溃 https://www.freebuf.com/articles/system/431156.html Node.js团队近日发布重要安全公告，针对24.x、23.x、22.x和20.x版本系列推出关键更新。这些补丁修复了从低危到高危的一系列安全漏洞。 8、Windows远程桌面网关漏洞可被攻击者利用触发拒绝服务 https://www.freebuf.com/articles/system/431096.html 微软安全响应中心(MSRC)已发布重要安全更新，修复Windows远程桌面网关(RD)服务中的一个高危漏洞(CVE-2025-26677)。该漏洞可能允许未经授权的攻击者触发拒绝服务(DoS)条件，潜在影响企业环境中的远程访问能力。 9、新币担保：涉84亿美元加密犯罪、杀猪盘及洗钱黑市曝光 https://www.freebuf.com/news/431135.html 自2022年以来，一个名为“新币担保（Xinbi Guarantee）”的Telegram交易平台促成的交易金额不低于84亿美元，成为继汇旺担保（HuiOne Guarantee）之后被曝光的第二大黑市平台。区块链分析公司Elliptic报告显示，该平台商户公然兜售技术工具、个人数据及洗钱服务。 10、欧盟新漏洞数据库将作为CVE计划的补充而非竞争者 https://www.csoonline.com/article/3984312/new-eu-vulnerability-database-will-complement-cve-program-not-compete-with-it-says-enisa.html 欧盟推出漏洞数据库EUVD，作为CVE计划的补充，聚焦欧盟关键漏洞，强化网络安全。旨在提升欧洲自主防护能力，但引发行业对多源数据复杂性和CVE权威性的担忧。 声明 以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。

前言 先铺垫一下。笔者有一个习惯，懒得记各种命令和payload，手工渗透测试时，遇到比较长的payload的情况下，不想一个一个地去手敲命令，于是我之前就在github上想寻找一个类似于记事本的软件，但是最好和我的记录命令的需求适配，于是就找到了一位师傅写的开源项目，一个专门用来记录命令的记事本，一直沿用至今，很方便哈哈 偶然邂逅 昨天，我在逛一些技术帖子的时候，看到一位大师傅分享的XSS payload，当时觉得这个payload我没咋见过捏，于是就想着来分析分析，我们看看这个payload妙在哪些地方？ <input style=content-visibility:auto oncontentvisibilityautostatechange="alert(1)"> 1. 利用冷门事件，规避黑名单过滤 经典绕过手法，使用冷门事件规避黑名单，oncontentvisibilityautostatechange 是一个与 content-visibility CSS属性关联的事件，很少被XSS防御规则收录。传统过滤器通常针对常见事件（如onload、onerror）。于是此事件因冷门性更易绕过检测。并且，当元素的content-visibility状态如从隐藏变为可见时，事件会自动触发，无需用户交互，就能实现"静默"攻击。 2. 合法CSS属性掩护恶意逻辑 合法的样式属性content-visibility: auto 是标准的性能优化CSS属性，用于延迟渲染非视口内容。该属性本身无害，可轻松通过内容安全策略（CSP）或过滤器的白名单检查。样式与事件逻辑紧密结合，攻击行为被隐藏在合法功能中 3. input低风险标签优势 使用<input>标签相比于<script>或<img>等高风险标签，<input>通常被视为安全元素，可能会被更大程度地允许在用户输入中使用（如评论框），从而绕过标签黑名单。 于是，这么好的payload，按照笔者的习惯那肯定得记录下来呀，又多积累了一个绕过的payload。 于是我把这个payload贴到这个工具上去（windows客户端版本） 结果，惊喜出现了，这个客户端居然直接弹窗了，执行了该payload 有点意思 临时抱佛脚 XSS在web端的利用面其实不算很多，盗cookie，钓鱼，挂马，水坑，结合CSRF打组合拳，蠕虫等等，但是客户端的XSS利用面就很广了，在一定条件下甚至能直接RCE！ 客户端的XSS大致能怎么利用呢？我也不会，PC端的东西还没有系统学习过，问一下AI呗，主打一个现学现用哈哈哈（大佬们轻喷） 下面简单总结一下，抛砖引玉： 1. 系统级权限逃逸（RCE） Electron/Node.js场景 若客户端基于Electron框架且未启用nodeIntegration: false等安全配置，XSS可直接调用child_process模块执行系统命令。 示例：<script>require('child_process').exec('calc.exe')</script>弹出计算器 Java WebView/JNI调用： Android WebView若启用setJavaScriptEnabled(true)并绑定Java接口，XSS可通过反射调用敏感API。 2. 本地敏感数据窃取 本地文件系统遍历： 利用FileReader/fetch读取客户端配置文件（如file://协议访问），窃取数据库凭证或加密密钥。 案例：读取Electron应用的localStorage.json或IndexedDB数据。 剪贴板劫持： 监控document.oncopy/onpaste事件，篡改加密货币钱包地址实现资产转移。 3. 硬件设备控制 摄像头/麦克风滥用： 通过navigator.mediaDevices.getUserMedia()静默启用设备，实现监控。 蓝牙/USB渗透： 调用客户端绑定的硬件API（如Web Bluetooth），扫描配对设备并注入恶意固件。 4. 客户端供应链污染 自动更新劫持： 篡改客户端自动更新逻辑（如替换update.json），强制下载捆绑恶意代码的版本。 插件系统攻击： 针对插件化架构（如VSCode扩展），通过XSS注入恶意插件代码实现持久化。 5. 横向移动与组合攻击 自定义协议滥用（Deep Link）： 利用myapp://协议调用其他应用，结合已知漏洞链扩大攻击面（如启动存在RCE漏洞的PDF阅读器）。 内存漏洞触发： 通过XSS精准覆盖缓冲区，触发客户端依赖库的0day漏洞（如旧版Chromium漏洞）。 6. 社会工程增强 高仿系统弹窗： 利用客户端GUI特性伪造系统权限请求窗口（如"输入密码以更新"），诱导用户泄露敏感信息。 本地网络探测： 通过WebRTC获取内网IP，扫描局域网设备（如路由器管理界面），结合默认凭据进一步渗透。 曲线救国 一下列举了这么多利用思路，好多我也不会哈哈，不过没关系，遇到了再去利用再去深入学习嘛 于是我尝试看看我这个案例能不能RCE呢…… 其实最直接RCE的方式就是，当客户端基于Electron框架且未启用nodeIntegration: false等安全配置时，直接就能构造出RCE的payload了，而且可以做到无感RCE，就是不需要用户有过多的交互。 <input style=content-visibility:auto oncontentvisibilityautostatechange="require('child_process').exec('calc.exe')"> 但是……很遗憾，这个工具不是基于Electron框架开发的，上面的payload不适用。那么就基本无法实现无感RCE了 不过可以这样，曲线救国，实现一个比较鸡肋的"RCE"，就是需要用户的一些交互才能完成。 比如，写入一个bat文件，取名叫什么update.bat，欺骗用户保存bat文件，并点击运行，严格来说不能算真正的RCE，因为客户端的RCE强调无感，我这个只能算曲线救国 我们直接构造一个写入bat文件的payload（但是需要用户手动保存） <input style=content-visibility:auto oncontentvisibilityautostatechange="(async()=>{const f=await window.showSaveFilePicker({suggestedName:'update.bat',types:[{accept:{'application/bat':['.bat']}}]});const w=await f.createWritable();await w.write('start /min calc.exe');await w.close();})()">(async()  const f = await window.showSaveFilePicker({    suggestedName: 'update.bat',    types: [{accept: {'application/bat': ['.bat']}}] });  const w = await f.createWritable(); //创建可写流，f.createWritable()生成写入流，避免一次性加载内容到内存。  await w.write('start /min calc.exe'); //写入恶意命令，start /min calc.exe 会以最小化窗口启动计算器，实际攻击中可替换为恶意脚本  await w.close(); })() 简单分析一下payload的逻辑： 用到的核心API是showSaveFilePicker 他是现代浏览器API，用于请求用户保存文件，弹出系统级保存对话框。 关键参数 suggestedName: 'update.bat' types: [{accept: {'application/bat': ['.bat']}}] 使用文件名伪装suggestedName: 'update.bat'利用系统更新文件的命名习惯降低用户戒心 MIME类型欺骗，声明types: [{accept: {'application/bat'类型，绕过对text/plain或application/octet-stream的过滤 扩展名锁定，强制指定types: [{accept: {'application/bat': ['.bat']}}]扩展名，确保文件可执行性 恶意内容注入，使用createWritable + write的方式来写入文件 const w = await f.createWritable(); 流式写入，采用WritableStream API避免内存中拼接完整文件内容，规避基于内容长度的检测 现在效果是这样的     1. 点击payload标签栏，就能触发xss代码，自动弹窗资源管理器，保存update.bat文件，但是这一步需要用户确认保存     2. 保存之后，还是需要用户自己去运行bat文件才能弹出计算器     3. 很鸡肋是不是哈哈，于是我们需要加入弹窗，欺骗一下下受害者 <input style="content-visibility:auto" oncontentvisibilityautostatechange="(async()=>{if(confirm('是否保存更新文件 update.bat？')){const f=await window.showSaveFilePicker({suggestedName:'update.bat',types:[{accept:{'application/bat':['.bat']}}]});const w=await f.createWritable();await w.write('start /min cal     4. 这样要稍微好一点点 <input style="content-visibility:auto" oncontentvisibilityautostatechange="(async()=>{alert('当前版本过旧，可能存在漏洞险，请下载更新程序更新到最新版本！'); const f=await window.showSaveFilePicker({suggestedName:'update.bat',types:[{accept:{'application/bat':['.bat']}}]});const w=await f.createWritable();await w.write('start /mi     5. 点击payload标签栏，触发xss代码弹窗，提示版本老旧，存在漏洞风险更新     6. 只有一个按钮，用户不得不点确定，然后就会自动写入update.bat文件 但是需要用户手动保存     7. 然后保存之后，就会弹窗提示用户执行     8. 假如用户执行了，那么就能执行里面的恶意代码了（需要免杀） 这个案例再次印证了安全领域的"海因里希法则"——每起严重漏洞背后，必然有29次轻微漏洞和300起未遂先兆。那些看似无害的XSS payload记录行为，恰恰成为了攻击链的关键支点。当我们惊叹于APT攻击的精妙时，不妨多审视日常开发中的"便利性妥协"，或许正是这些细微处的风险累积，最终筑成了攻防天平倾斜的转折点。 最后挣扎 其实，我感觉想要做到无感RCE还有一种更直接的办法，就是直接去审计这个项目的源码啊！可以找找前后端有没有什么危险函数，能够通过js调用执行，并且能逃逸出沙箱，执行系统命令的地方。经过对后端代码的审计，没有发现什么可控的地方，唯一可控的就是配置文件的内容，但后端都写死了，无明显的危险操作，无法无感RCE 后记 ok，到此全篇结束。本文没有什么太大的技术含量，纯粹比较有趣（对我来说），甚至是现学现卖的哈哈。短期内，其实用处不是很大，但是我个人觉得，往往正是这些无用之用，这些学安全路上的小发现、小惊喜才是支撑我们夜以继日、废寝忘食地搞安全的最大动力！也正是这些无用之用，我们才一点一点成长成如今的模样…… 晚辈技术浅陋，行文难免不当，还请师傅们多多指教！