返回
快讯

ThreatsDay通报:AI代理钓鱼与新补丁

本周通报涵盖供应链工具泄露、AI代理被钓鱼、Claude Code GitHub Action补丁等多项事件,并提到多起凭证窃取、邮件伪造与EDR规避手法。受影响范围包括开发者仓库、云与CI/CD凭证、浏览器扩展及多类终端设备;建议立即审计权限、更新补丁并检查扩展与下载来源。

CVE-2026-49494

这周就是那种情况。你本来会预期是惯常的噪音:重复利用的恶意软件、粗糙攻击、又一个容易得手的目标被击中。结果却出现了一个公开仓库中的供应链攻击工具包、一款每月 5,000 美元、能克隆浏览器的 RAT,以及显示 AI 代理也会被诱骗泄露真实凭证的研究。

更大的问题在于,这一切现在看起来都越来越“精致”。Mule 网络运作得像 SaaS。深伪 KYC 绕过被当作功能销售。终端工具还能通过内置 OS 设置悄悄被削弱,而且根本不需要利用漏洞。

下面是值得了解的全部威胁、工具、缺陷和更新。

3.3B identity records exposed How Infostealers Fuel Identity-Based Attacks Flashpoint 的一项新分析显示,“去年有超过 1,110 万台设备感染了信息窃取器,带来了超过 33 亿条被盗凭证、会话 Cookie、云令牌以及其他形式的身份数据,如今这些数据正在非法市场中流通。” 非法市场、论坛和地下社区中目前公开出售的独特信息窃取器变种超过 30 种,这表明“现代 malware-as-a-service 生态系统的规模和可获得性”。Lumma、Acreed、Rhadamanthys、Vidar 和 StealC 是 2025 年最活跃的窃取器。印度、巴西、印度尼西亚、越南、菲律宾和美国是同一时期受信息窃取类恶意软件影响最严重的前六个国家。

Flashpoint 的一项新分析显示,“去年有超过 1,110 万台设备感染了信息窃取器,带来了超过 33 亿条被盗凭证、会话 Cookie、云令牌以及其他形式的身份数据,如今这些数据正在非法市场中流通。” 非法市场、论坛和地下社区中目前公开出售的独特信息窃取器变种超过 30 种,这表明“现代 malware-as-a-service 生态系统的规模和可获得性”。Lumma、Acreed、Rhadamanthys、Vidar 和 StealC 是 2025 年最活跃的窃取器。印度、巴西、印度尼西亚、越南、菲律宾和美国是同一时期受信息窃取类恶意软件影响最严重的前六个国家。

MaaS RAT targets credentials New SilabRAT Spotted 名为 “o1oo1” 的威胁行为者在自 2025 年 9 月以来的 darknet 论坛上宣传一款名为 SilabRAT 的高级远程访问木马(RAT),按 malware-as-a-service(MaaS)模式每月收费 5,000 美元。“SilabRAT 非常专注于通过凭证窃取获取经济利益,”Group-IB 表示。“它具有稳定性,并且能够绕过现有安全措施。” 该恶意软件通过使用 Hijack Loader 的 ClickFix 活动投递,利用 Hidden Virtual Network Computing(HVNC)提供远程控制能力,采用 Browser Profile Cloning 等技术将用户的浏览器配置文件(user agent、扩展、存储和其他指纹属性)复制到攻击者系统,并可识别钱包地址或提取与加密货币相关的工件。讲俄语的恶意软件开发者兼销售者 “o1oo1” 自 2020 年末起活跃,之前曾推出名为 AsmCrypt 的服务。

名为 “o1oo1” 的威胁行为者在自 2025 年 9 月以来的 darknet 论坛上宣传一款名为 SilabRAT 的高级远程访问木马(RAT),按 malware-as-a-service(MaaS)模式每月收费 5,000 美元。“SilabRAT 非常专注于通过凭证窃取获取经济利益,”Group-IB 表示。“它具有稳定性,并且能够绕过现有安全措施。” 该恶意软件通过使用 Hijack Loader 的 ClickFix 活动投递,利用 Hidden Virtual Network Computing(HVNC)提供远程控制能力,采用 Browser Profile Cloning 等技术将用户的浏览器配置文件(user agent、扩展、存储和其他指纹属性)复制到攻击者系统,并可识别钱包地址或提取与加密货币相关的工件。讲俄语的恶意软件开发者兼销售者 “o1oo1” 自 2020 年末起活跃,之前曾推出名为 AsmCrypt 的服务。

47% of tech intrusions North Korean Hackers Behind Nearly 50% of Tech Industry Hacks CrowdStrike 披露,名为 Famous Chollima 的朝鲜威胁行为者,也就是长期 IT worker 和 Contagious Interview campaign 的幕后黑手,在 2025 年 4 月至 2026 年 3 月期间,占针对科技行业所有国家支持的 hands-on-keyboard operations 的 47%。hands-on intrusions 指的是由人工操作者直接控制并与系统交互的网络攻击,而不是完全依赖恶意软件。“在他们的 IT worker 渗透活动中,他们试图在北美、欧洲和亚洲的科技公司中以虚假身份求职,”这家网络安全公司表示。

CrowdStrike 披露,名为 Famous Chollima 的朝鲜威胁行为者,也就是长期 IT worker 和 Contagious Interview campaign 的幕后黑手,在 2025 年 4 月至 2026 年 3 月期间,占针对科技行业所有国家支持的 hands-on-keyboard operations 的 47%。hands-on intrusions 指的是由人工操作者直接控制并与系统交互的网络攻击,而不是完全依赖恶意软件。“在他们的 IT worker 渗透活动中,他们试图在北美、欧洲和亚洲的科技公司中以虚假身份求职,”这家网络安全公司表示。

13 domains seized U.S. Takes Down 13 Domains Linked to Alleged Chinese Intelligence Collection 美国司法部宣布查封 13 个伪装成咨询公司的互联网域名,这些域名被用来针对美国人,包括目前和曾经持有安全许可、能够接触美国政府机密和敏感信息的人。“这些域名查封让我们得以一窥外国行为者如何利用‘轻松赚钱’的承诺,诱使美国人泄露他们依法有义务保护的敏感或机密信息,”国家安全助理司法部长 John A. Eisenberg 说。“任何在网上被以含糊的‘咨询’工作名义提供轻松收入的人,都应极度谨慎对待,并警惕恶意定向的警示信号。” 这些冒牌公司在 Upwork、Expertia AI、Hubstaff Talent、Wellfound 和 Post Job Free 等平台上发布通用的咨询或分析师职位,试图招募现任或前任美国政府及美国军方雇员,为不具名客户提供专业知识。随后,招聘者会向候选人施压,要求其交出机密信息以及来自“内部人士”的报告,以换取加密货币付款。该行动被评估为始于 2023 年 11 月。该行动被评估为始于 2023 年 11 月。此次公告发布前,Five Eyes 情报联盟成员国已警告,中国正积极利用求职平台来针对人员获取信息。中国驻华盛顿大使馆在给 Reuters 的声明中谴责这些指控,称其为捏造。

Supply-chain toolkit exposed Miasma Toolkit Leaks Briefly 自 2026 年 6 月 8 日起,多个名为 “Miasma-Open-Source-Release” 的仓库开始出现后,Miasma 凭证窃取攻击框架曾短暂在 GitHub 上被免费公开。根据 SafeDep 的说法,源代码是通过被入侵的开发者账户发布的。“Miasma 代码库看起来比一个 supply chain worm 更大,”SafeDep 说。“它是一个完整的 supply chain attack toolkit,允许操作者通过被盗凭证对公共仓库(PyPI、npm、RubyGems)、JFrog Artifactory、GitHub repositories 和 GitHub Actions、AI coding tools 配置投毒、基于 SSH 的 lateral movement 以及其他攻击向量,针对任意或指定软件包执行各种攻击。” 与依赖传统 command-and-control(C2)基础设施不同,该恶意软件使用 GitHub commit search 的三个独立 C2 通道,每个通道都有不同的搜索字符串和加密密钥:“DontRevokeOrItGoesBoom” 用于发现攻击者控制的 personal access tokens(PAT)以进行数据外传,“TheBeautifulSandsOfTime” 用于投递 JavaScript,而 “firedalazer” 则用于投递作为 remote code execution 后门的 Python 脚本 URL。Miasma 被认为是 Shai-Hulud worm 的一个变种。该 campaign 此后已演变为名为 Hades 的 Python 变种,代表持续进行的软件供应链 campaign 的最新演进。截至上周,Miasma 已影响共 304 个组件。

自 2026 年 6 月 8 日起,多个名为 “Miasma-Open-Source-Release” 的仓库开始出现后,Miasma 凭证窃取攻击框架曾短暂在 GitHub 上被免费公开。根据 SafeDep 的说法,源代码是通过被入侵的开发者账户发布的。“Miasma 代码库看起来比一个 supply chain worm 更大,”SafeDep 说。“它是一个完整的 supply chain attack toolkit,允许操作者通过被盗凭证对公共仓库(PyPI、npm、RubyGems)、JFrog Artifactory、GitHub repositories 和 GitHub Actions、AI coding tools 配置投毒、基于 SSH 的 lateral movement 以及其他攻击向量,针对任意或指定软件包执行各种攻击。” 与依赖传统 command-and-control(C2)基础设施不同,该恶意软件使用 GitHub commit search 的三个独立 C2 通道,每个通道都有不同的搜索字符串和加密密钥:“DontRevokeOrItGoesBoom” 用于发现攻击者控制的 personal access tokens(PAT)以进行数据外传,“TheBeautifulSandsOfTime” 用于投递 JavaScript,而 “firedalazer” 则用于投递作为 remote code execution 后门的 Python 脚本 URL。Miasma 被认为是 Shai-Hulud worm 的一个变种。该 campaign 此后已演变为名为 Hades 的 Python 变种,代表持续进行的软件供应链 campaign 的最新演进。截至上周,Miasma 已影响共 304 个组件。

Search uploads retained Google Announces Changes to Search Settings Google 表示,将在新的 “Search Services History” 设置下保存用户上传到 Search 的图片、文件、音频和视频。这些内容可以包括图片、文件以及音频/视频录制,例如 Google Lens 图像、你上传的内容,以及来自 Search Live、Translate speaking practice 和 voice searches 的录音,Google 说。该科技巨头表示,“Search Services History” 设置将用于“提供、开发并改进其服务”,包括其 AI 模型;如果开启新的 “Personalized Recommendations” 选项,还会提供个性化建议和广告。这两个设置独立于 Google 的 Web & App Activity。

Google 表示,将在新的 “Search Services History” 设置下保存用户上传到 Search 的图片、文件、音频和视频。这些内容可以包括图片、文件以及音频/视频录制,例如 Google Lens 图像、你上传的内容,以及来自 Search Live、Translate speaking practice 和 voice searches 的录音,Google 说。该科技巨头表示,“Search Services History” 设置将用于“提供、开发并改进其服务”,包括其 AI 模型;如果开启新的 “Personalized Recommendations” 选项,还会提供个性化建议和广告。这两个设置独立于 Google 的 Web & App Activity。

Cross-platform RAT emerges New Cross-Platform RAT SStar Agent Emerges Iru 分析了一款新的跨平台 RAT,名为 SStar Agent,面向 Windows 和 macOS 系统。“macOS 版本是高度植入式的监控工具,侧重侦察和外传;而 Windows 版本则增加了键盘 hook、剪贴板监控,以及远程鼠标/键盘控制,”该公司表示。“值得注意的是,该恶意软件包含一个发往 /api/telemetry/report 的大型 POST 请求,会持续监控并外传整个目录树,以监视感兴趣的文件。Windows 和 macOS 版本之间的差距表明这仍处于开发中。” 该恶意软件通过一个被投毒的 npm 包 “tw-style-utils” 投递。诱饵是一份伪造的 Web3 engineering take-home assessment,以及一个 GitHub repository(“star45674/smart-contract-engineer-role”),很可能分发给目标。虽然仓库本身是干净的,但 payload 位于 npm dependency 中。尽管目前尚不清楚幕后是谁,但这些活动与此前观察到的北韩黑客组织发起的社交工程攻击有重叠。

Iru 分析了一款新的跨平台 RAT,名为 SStar Agent,面向 Windows 和 macOS 系统。“macOS 版本是高度植入式的监控工具,侧重侦察和外传;而 Windows 版本则增加了键盘 hook、剪贴板监控,以及远程鼠标/键盘控制,”该公司表示。“值得注意的是,该恶意软件包含一个发往 /api/telemetry/report 的大型 POST 请求,会持续监控并外传整个目录树,以监视感兴趣的文件。Windows 和 macOS 版本之间的差距表明这仍处于开发中。” 该恶意软件通过一个被投毒的 npm 包 “tw-style-utils” 投递。诱饵是一份伪造的 Web3 engineering take-home assessment,以及一个 GitHub repository(“star45674/smart-contract-engineer-role”),很可能分发给目标。虽然仓库本身是干净的,但 payload 位于 npm dependency 中。尽管目前尚不清楚幕后是谁,但这些活动与此前观察到的北韩黑客组织发起的社交工程攻击有重叠。

Fake npm popularity New npm Deception Technique Called Download Pumping Tenable 详述了一种名为 download pumping 的技术,攻击者通过人为抬高 npm package 下载量,让恶意软件包看起来对开发者而言更合法、更可信。这种做法已在一个名为 “ambar-src” 的 package 中被观察到:攻击者先发布了数百个无害版本,随后再加入真正的恶意 payload,使其在三天内下载量超过 50,000 次。“每次发布新版本时,repository mirrors 和 analysis bots 等自动化系统都会自动下载它,”Tenable 说。“由于攻击者系统性地上传了数百个版本,他们人为制造了大量自动化流量,在短短三天内把这个 package 的下载量抬高到超过 50,000 次。”

Tenable 详述了一种名为 download pumping 的技术,攻击者通过人为抬高 npm package 下载量,让恶意软件包看起来对开发者而言更合法、更可信。这种做法已在一个名为 “ambar-src” 的 package 中被观察到:攻击者先发布了数百个无害版本,随后再加入真正的恶意 payload,使其在三天内下载量超过 50,000 次。“每次发布新版本时,repository mirrors 和 analysis bots 等自动化系统都会自动下载它,”Tenable 说。“由于攻击者系统性地上传了数百个版本,他们人为制造了大量自动化流量,在短短三天内把这个 package 的下载量抬高到超过 50,000 次。”

Exchange spoofing risk Ghost-Sender Exchange Misconfiguration Lets Attackers Spoof Any Email Address Microsoft Exchange 的某些配置中的一个弱点可被攻击者利用,向脆弱组织发送伪装成任意用户的电子邮件。该技术被命名为 Ghost-Sender。“将 Exchange Online(或混合模式下的本地 Exchange)与外部 MX record 结合,例如第三方邮件服务器或垃圾邮件防护方案,可能允许将任意发件人的邮件伪造成目标租户中的任意收件人,”InfoGuard Labs 说。“这与被伪造域的 SPF、DKIM 和 DMARC policy 无关,而且邮件会在没有任何进一步警告的情况下投递。可以从任何人名义发送邮件,包括外部和内部邮箱地址。对于内部发件人,Outlook 甚至会显示发件人的头像。”

Microsoft Exchange 的某些配置中的一个弱点可被攻击者利用,向脆弱组织发送伪装成任意用户的电子邮件。该技术被命名为 Ghost-Sender。“将 Exchange Online(或混合模式下的本地 Exchange)与外部 MX record 结合,例如第三方邮件服务器或垃圾邮件防护方案,可能允许将任意发件人的邮件伪造成目标租户中的任意收件人,”InfoGuard Labs 说。“这与被伪造域的 SPF、DKIM 和 DMARC policy 无关,而且邮件会在没有任何进一步警告的情况下投递。可以从任何人名义发送邮件,包括外部和内部邮箱地址。对于内部发件人,Outlook 甚至会显示发件人的头像。”

Russia-focused phishing waves SiribClone, Cloud Atlas, and Others Target Russia 一个此前未知、名为 SiribClone 的组织,利用“安全照片交换”诱饵应用针对俄罗斯军人,分发用于桌面和移动设备的恶意文件。在某些情况下,成员会伪装成寻求恋爱关系的女性,以感染智能手机、电脑和 Telegram 账户。该组织自 2025 年初开始活跃。针对 Android 设备的攻击会部署一款名为 SafeLoveStealer 的间谍软件,可窃取照片、视频、文档和位置信息。Windows 系统则会被一种名为 SiribGrabber 的窃取器感染。该恶意软件通过伪装成军事主题文档的 ZIP 压缩包式钓鱼邮件传播。此外,该组织还运营模仿 Telegram 登录页面的钓鱼网站,诱骗目标输入电话号码、验证码和双因素认证密码,从而接管账户。与该威胁行为者相关的还有一个名为 Kontur 的工具,可存储被盗的 Telegram 会话并允许操作者查看截获消息。自至少 2024 年 7 月以来,俄罗斯海事大学、能源设施、外交使团和政府机构也一直遭到一个未知组织的钓鱼 campaign 攻击。近期攻击波使用了一个名为 Ravage 的 C2 framework,不过 2024 年观察到的两个不同钓鱼 campaign 使用了 Cobalt Strike。第三个针对俄罗斯(以及白俄罗斯)的黑客组织是 Cloud Atlas,它通过发送含有恶意快捷方式的 ZIP 压缩包钓鱼邮件,启动 PowerShell scripts,为 VBShower 和 PowerShower 等恶意软件铺路,后者用于投放凭证窃取器。通过 PAExec 或 PsExec 进行的 RDP、SSH 和 RevSocks 横向移动,是名为 PowerAdmin 的 framework 的一部分。此外,这些攻击还涉及两个新工具:PowerCloud,它以管理员权限收集用户数据并将其写入 Google Sheets;以及 Browser checker,一个 PowerShell script,用于检查浏览器进程(Chrome、Edge、Firefox 及其他)是否正在运行。

一个此前未知、名为 SiribClone 的组织,利用“安全照片交换”诱饵应用针对俄罗斯军人,分发用于桌面和移动设备的恶意文件。在某些情况下,成员会伪装成寻求恋爱关系的女性,以感染智能手机、电脑和 Telegram 账户。该组织自 2025 年初开始活跃。针对 Android 设备的攻击会部署一款名为 SafeLoveStealer 的间谍软件,可窃取照片、视频、文档和位置信息。Windows 系统则会被一种名为 SiribGrabber 的窃取器感染。该恶意软件通过伪装成军事主题文档的 ZIP 压缩包式钓鱼邮件传播。此外,该组织还运营模仿 Telegram 登录页面的钓鱼网站,诱骗目标输入电话号码、验证码和双因素认证密码,从而接管账户。与该威胁行为者相关的还有一个名为 Kontur 的工具,可存储被盗的 Telegram 会话并允许操作者查看截获消息。自至少 2024 年 7 月以来,俄罗斯海事大学、能源设施、外交使团和政府机构也一直遭到一个未知组织的钓鱼 campaign 攻击。近期攻击波使用了一个名为 Ravage 的 C2 framework,不过 2024 年观察到的两个不同钓鱼 campaign 使用了 Cobalt Strike。第三个针对俄罗斯(以及白俄罗斯)的黑客组织是 Cloud Atlas,它通过发送含有恶意快捷方式的 ZIP 压缩包钓鱼邮件,启动 PowerShell scripts,为 VBShower 和 PowerShower 等恶意软件铺路,后者用于投放凭证窃取器。通过 PAExec 或 PsExec 进行的 RDP、SSH 和 RevSocks 横向移动,是名为 PowerAdmin 的 framework 的一部分。此外,这些攻击还涉及两个新工具:PowerCloud,它以管理员权限收集用户数据并将其写入 Google Sheets;以及 Browser checker,一个 PowerShell script,用于检查浏览器进程(Chrome、Edge、Firefox 及其他)是否正在运行。

ClickFix backdoor expands MLTBackdoor Malware Observed 一个与勒索软件相关的威胁行为者正在使用一种名为 MLTBackdoor 的新恶意软件家族,该恶意软件通过 ClickFix 投递。“MTLBackdoor 支持一组命令,例如从受害者系统下载和上传文件,”Zscaler ThreatLabz 说。“不过,它最强大的功能之一是能够加载 Beacon Object Files(BOFs)来扩展其能力。” 该恶意软件于 2026 年 5 月被发现。近几个月,涉及 DragonForce 和 World Leaks 的勒索软件和数据勒索攻击使用了诸如 VIPERTUNNEL 之类的后门;VIPERTUNNEL 是一款此前与 RansomHub 相关联的 Python 恶意软件,以及 RustyRocket——一款自定义 Rust 工具,用于实现隐蔽数据外传和持久访问。“一旦攻击者运行它,RustyRocket 就可以使用高度加密且分层的流量安全连接到攻击者控制的服务器,这些流量会与正常互联网活动混合,因此防御者很难检测到,”Accenture 的 T. Ryan Whelan 说。“这种恶意软件是一种为持久化和隐蔽而构建的集成通信架构。”

一个与勒索软件相关的威胁行为者正在使用一种名为 MLTBackdoor 的新恶意软件家族,该恶意软件通过 ClickFix 投递。“MTLBackdoor 支持一组命令,例如从受害者系统下载和上传文件,”Zscaler ThreatLabz 说。“不过,它最强大的功能之一是能够加载 Beacon Object Files(BOFs)来扩展其能力。” 该恶意软件于 2026 年 5 月被发现。近几个月,涉及 DragonForce 和 World Leaks 的勒索软件和数据勒索攻击使用了诸如 VIPERTUNNEL 之类的后门;VIPERTUNNEL 是一款此前与 RansomHub 相关联的 Python 恶意软件,以及 RustyRocket——一款自定义 Rust 工具,用于实现隐蔽数据外传和持久访问。“一旦攻击者运行它,RustyRocket 就可以使用高度加密且分层的流量安全连接到攻击者控制的服务器,这些流量会与正常互联网活动混合,因此防御者很难检测到,”Accenture 的 T. Ryan Whelan 说。“这种恶意软件是一种为持久化和隐蔽而构建的集成通信架构。”

WooCommerce card theft New Skimmer Campaign Targets WooCommerce Storefronts 一项新的 skimmer campaign 正在针对 WooCommerce 网站,从结账页面窃取银行卡信息。“这个 skimmer 冒充真实的 Stripe 支付组件,实时验证银行卡,因此受害者不会察觉任何异常,”CloudSEK 说。“这份样本最‘专业’的地方在于它极力营造合法性。它重新实现了真实结账流程执行的相同客户端检查。”

一项新的 skimmer campaign 正在针对 WooCommerce 网站,从结账页面窃取银行卡信息。“这个 skimmer 冒充真实的 Stripe 支付组件,实时验证银行卡,因此受害者不会察觉任何异常,”CloudSEK 说。“这份样本最‘专业’的地方在于它极力营造合法性。它重新实现了真实结账流程执行的相同客户端检查。”

33,000 users targeted New Golang GoFlateLoader Delivers Infostealers 一款名为 GoFlateLoader 的新 Go-based loader 正被用于投递多个信息窃取器,包括 Amatera、Remus、Lumma、Vidar、StealC 和 SvitStealer。“GoFlateLoader 同时存在 x86(32-bit)和 x86-64(64-bit)变体,与其准备执行的 payload 位数相匹配,”Gen Digital 的 Avast 说。“该 loader 设计用于内存中执行 payload,并故意塞入一个巨大的 PE overlay 以阻碍检测。” 该恶意软件通过破解软件和一个恶意 Traffic Distribution System(TDS)传播,该 TDS 还曾用于投递 Remus Stealer、AnimateClipper 和 SessionGate framework。自 2026 年 4 月初以来,已有超过 33,000 名独立用户成为目标,受影响最严重的国家包括巴西、印度、阿根廷、墨西哥、土耳其和西班牙。

一款名为 GoFlateLoader 的新 Go-based loader 正被用于投递多个信息窃取器,包括 Amatera、Remus、Lumma、Vidar、StealC 和 SvitStealer。“GoFlateLoader 同时存在 x86(32-bit)和 x86-64(64-bit)变体,与其准备执行的 payload 位数相匹配,”Gen Digital 的 Avast 说。“该 loader 设计用于内存中执行 payload,并故意塞入一个巨大的 PE overlay 以阻碍检测。” 该恶意软件通过破解软件和一个恶意 Traffic Distribution System(TDS)传播,该 TDS 还曾用于投递 Remus Stealer、AnimateClipper 和 SessionGate framework。自 2026 年 4 月初以来,已有超过 33,000 名独立用户成为目标,受影响最严重的国家包括巴西、印度、阿根廷、墨西哥、土耳其和西班牙。

$862K damage case Ohio Contractor Sentenced to 24 Months in Prison for Hacking Former Employer 36 岁的俄亥俄州哥伦布市居民 Maxwell Schultz 因在 2021 年 5 月合同终止后入侵其雇主网络,被判处 24 个月联邦监禁。Schultz 冒充另一名承包商,获取登录凭证,访问前雇主的系统,并执行了一段恶意 PowerShell script,将大约 2,500 个密码重置,导致员工和承包商被锁在系统外,并造成超过 862,000 美元的损失。Schultz 已于 2025 年 11 月对该罪行认罪。

36 岁的俄亥俄州哥伦布市居民 Maxwell Schultz 因在 2021 年 5 月合同终止后入侵其雇主网络,被判处 24 个月联邦监禁。Schultz 冒充另一名承包商,获取登录凭证,访问前雇主的系统,并执行了一段恶意 PowerShell script,将大约 2,500 个密码重置,导致员工和承包商被锁在系统外,并造成超过 862,000 美元的损失。Schultz 已于 2025 年 11 月对该罪行认罪。

Fake banking updates NFCShare Android Malware Spreads via Fake Banking App Updates on GitHub 一项新的钓鱼 campaign 冒充意大利和欧洲银行品牌,用来分发一款名为 NFCShare 的 Android 恶意软件。攻击者使用钓鱼网站诱骗用户输入凭证,随后提示他们通过从 GitHub(“antoniocastaldo1998/app-scuola”)下载一个 APK 文件来更新银行应用。最终目的是引导用户完成一个伪造的银行卡验证流程:把银行卡靠近手机,在“验证”时保持贴近,并输入银行卡 PIN。其底层实际上会读取 NFC card data(ISO-DEP),并将其外传到一个远程 WebSocket endpoint。该活动在战术上与其他 NFC relay malware(如 SuperCardX 和 RelayNFC)有重叠。出现的中文文本表明可能存在与中国相关的操作者或工具链来源。

一项新的钓鱼 campaign 冒充意大利和欧洲银行品牌,用来分发一款名为 NFCShare 的 Android 恶意软件。攻击者使用钓鱼网站诱骗用户输入凭证,随后提示他们通过从 GitHub(“antoniocastaldo1998/app-scuola”)下载一个 APK 文件来更新银行应用。最终目的是引导用户完成一个伪造的银行卡验证流程:把银行卡靠近手机,在“验证”时保持贴近,并输入银行卡 PIN。其底层实际上会读取 NFC card data(ISO-DEP),并将其外传到一个远程 WebSocket endpoint。该活动在战术上与其他 NFC relay malware(如 SuperCardX 和 RelayNFC)有重叠。出现的中文文本表明可能存在与中国相关的操作者或工具链来源。

AI agent phishing risk Making OpenClaw AI Agents Fall for Phishing 针对名为 Pinchy 的 OpenClaw email agent 所做的四次钓鱼模拟显示,它会受到常见于欺骗人类用户的手法影响。“在某些情况下,Pinchy 不仅没能识别钓鱼攻击,还执行了可能危及真实组织的高风险操作,”Varonis 说。“在一个显著案例中,一封来自‘Dan’、要求代理分享 staging credentials 的普通邮件,就足以让它把 AWS IAM keys、数据库密码和 SSH access 转发到一个外部 Gmail。” 这种 agent phishing 与间接 prompt injection 不同。后者是在模型消费的数据中嵌入恶意指令,以触发非预期动作或响应;而 agent phishing 则发生在应用层之上。“一个看似可信的请求通过正常通信渠道到来,看起来像一封合法的业务消息,并在代理在核实发件人之前就采取行动时得手,”Varonis 补充说。

针对名为 Pinchy 的 OpenClaw email agent 所做的四次钓鱼模拟显示,它会受到常见于欺骗人类用户的手法影响。“在某些情况下,Pinchy 不仅没能识别钓鱼攻击,还执行了可能危及真实组织的高风险操作,”Varonis 说。“在一个显著案例中,一封来自‘Dan’、要求代理分享 staging credentials 的普通邮件,就足以让它把 AWS IAM keys、数据库密码和 SSH access 转发到一个外部 Gmail。” 这种 agent phishing 与间接 prompt injection 不同。后者是在模型消费的数据中嵌入恶意指令,以触发非预期动作或响应;而 agent phishing 则发生在应用层之上。“一个看似可信的请求通过正常通信渠道到来,看起来像一封合法的业务消息,并在代理在核实发件人之前就采取行动时得手,”Varonis 补充说。

AI fixes weak passwords Apple Unleashes AI to Replace Weak and Compromised Passwords Without User Intervention Apple 表示,其即将推出的 Apple Intelligence 版本——这家公司的生成式人工智能(AI)系统——将支持通过 Passwords app 以一次点击更新弱口令和已泄露密码。“在提醒用户存在弱口令和已泄露密码的能力基础上,Passwords 现在可以仅凭一次点击自动为用户修复这些问题,”Apple 说。“借助 Apple Intelligence 和 Safari 代表用户以 agentic 方式执行操作,Passwords 可安全地在网站中导航,以登录并将账户升级为强密码。”

Apple 表示,其即将推出的 Apple Intelligence 版本——这家公司的生成式人工智能(AI)系统——将支持通过 Passwords app 以一次点击更新弱口令和已泄露密码。“在提醒用户存在弱口令和已泄露密码的能力基础上,Passwords 现在可以仅凭一次点击自动为用户修复这些问题,”Apple 说。“借助 Apple Intelligence 和 Safari 代表用户以 agentic 方式执行操作,Passwords 可安全地在网站中导航,以登录并将账户升级为强密码。”

EDR telemetry throttled Using EDRChoker to Bypass Defenses 一种名为 EDRChoker 的新技术,会干扰 Endpoint Detection and Response(EDR)软件的客户端-服务器连接,从而绕过防御。“EDRChoker 使用基于 policy 的 Quality of Service(QoS)将 EDR agents 限制到最低带宽;当 agents 尝试连接时,它们会因带宽极低而持续超时,”一位使用 Zero Salarium 名称的安全研究人员说。“它会获取一份常见 EDR 进程名称列表,并创建 QoS policies,将这些进程限制到每秒 8 bit。在这种带宽下,EDR agent 基本上会与其服务器隔离。” 今年 1 月早些时候,这名研究员还展示了 EDRStartupHinder,它可阻止 EDR 程序启动。“EDRStartupHinder 试图利用 Windows Bindlink 将一个 DLL 从 System32 重定向到其他位置,同时利用仅加载由受 Protected Process Light(PPL)保护的程序签名 DLL 的函数,防止 AV/EDR services 启动,”该研究员说。Binary Defense 设计的另一种技术,则是在不触发传统恶意软件告警的情况下禁用 Windows Defender 和 Sysmon 等关键安全服务。它通过修改 Windows Access Control Lists(ACLs),在核心系统库如 “kernel32.dll” 上添加 “Deny” Access Control Entries(ACEs)。由于这些服务依赖该 DLL 运行,依赖链被破坏。系统重启后,这些受保护的服务无法启动,使终端失去防御。

一种名为 EDRChoker 的新技术,会干扰 Endpoint Detection and Response(EDR)软件的客户端-服务器连接,从而绕过防御。“EDRChoker 使用基于 policy 的 Quality of Service(QoS)将 EDR agents 限制到最低带宽;当 agents 尝试连接时,它们会因带宽极低而持续超时,”一位使用 Zero Salarium 名称的安全研究人员说。“它会获取一份常见 EDR 进程名称列表,并创建 QoS policies,将这些进程限制到每秒 8 bit。在这种带宽下,EDR agent 基本上会与其服务器隔离。” 今年 1 月早些时候,这名研究员还展示了 EDRStartupHinder,它可阻止 EDR 程序启动。“EDRStartupHinder 试图利用 Windows Bindlink 将一个 DLL 从 System32 重定向到其他位置,同时利用仅加载由受 Protected Process Light(PPL)保护的程序签名 DLL 的函数,防止 AV/EDR services 启动,”该研究员说。Binary Defense 设计的另一种技术,则是在不触发传统恶意软件告警的情况下禁用 Windows Defender 和 Sysmon 等关键安全服务。它通过修改 Windows Access Control Lists(ACLs),在核心系统库如 “kernel32.dll” 上添加 “Deny” Access Control Entries(ACEs)。由于这些服务依赖该 DLL 运行,依赖链被破坏。系统重启后,这些受保护的服务无法启动,使终端失去防御。

STX RAT supply chain grows Trojanized Packages Used to Deliver STX RAT 针对 CPUID 的 supply chain attack 以投递 STX RAT 的范围比先前认为的更大,Cyderes 的新分析发现了与同一 campaign 相关的另外七个被植入木马的 package。“所有 package 都遵循相同的投递机制,”这家网络安全公司说。“该 actor 以 Leda Elacoate(pufferfish11@firemail[.]cc)为别名,在大约一个月内建立并维护了一个装有被植入木马安装程序的 Bitbucket repository,针对广泛的用户群体。” 受影响的 package 中包括 X-VPN,这是一款据称拥有超过 1 亿用户的消费者 VPN。通过官方渠道安装 X-VPN 的用户不受影响。“该 actor 起初以加密货币交易所和交易软件作为诱饵,锁定那些可能可接触金融账户的用户,随后逐步将诱饵扩展到社交工程伪装和 VPN 软件,”Cyderes 补充说。

针对 CPUID 的 supply chain attack 以投递 STX RAT 的范围比先前认为的更大,Cyderes 的新分析发现了与同一 campaign 相关的另外七个被植入木马的 package。“所有 package 都遵循相同的投递机制,”这家网络安全公司说。“该 actor 以 Leda Elacoate(pufferfish11@firemail[.]cc)为别名,在大约一个月内建立并维护了一个装有被植入木马安装程序的 Bitbucket repository,针对广泛的用户群体。” 受影响的 package 中包括 X-VPN,这是一款据称拥有超过 1 亿用户的消费者 VPN。通过官方渠道安装 X-VPN 的用户不受影响。“该 actor 起初以加密货币交易所和交易软件作为诱饵,锁定那些可能可接触金融账户的用户,随后逐步将诱饵扩展到社交工程伪装和 VPN 软件,”Cyderes 补充说。

Agent Tesla via ZIP lures Phishing Campaign Delivers Agent Tesla 伪装成合法付款通知消息的钓鱼邮件被用来投递 ZIP 压缩包,用户打开后会触发多阶段感染链,最终部署 Agent Tesla。“简而言之,受害者打开了看似无害的文件,但在幕后,一个高度混淆的 Batch script 悄悄启动 PowerShell,随后又直接在内存中拉取并执行额外的恶意代码,”Point Wild 说。“从这里开始,攻击升级为一个分阶段执行链,涉及 shellcode 解码、持久化设置,以及对 charmap.exe 等合法 Windows 应用程序的 process injection。” Agent Tesla 旨在窃取浏览器凭证、记录击键、截取屏幕并提取系统中的敏感数据。收集到的信息随后通过基于 SMTP 的通信外传,使恶意流量能够混入看起来正常的邮件活动。

伪装成合法付款通知消息的钓鱼邮件被用来投递 ZIP 压缩包,用户打开后会触发多阶段感染链,最终部署 Agent Tesla。“简而言之,受害者打开了看似无害的文件,但在幕后,一个高度混淆的 Batch script 悄悄启动 PowerShell,随后又直接在内存中拉取并执行额外的恶意代码,”Point Wild 说。“从这里开始,攻击升级为一个分阶段执行链,涉及 shellcode 解码、持久化设置,以及对 charmap.exe 等合法 Windows 应用程序的 process injection。” Agent Tesla 旨在窃取浏览器凭证、记录击键、截取屏幕并提取系统中的敏感数据。收集到的信息随后通过基于 SMTP 的通信外传,使恶意流量能够混入看起来正常的邮件活动。

AI video lures spread malware Phishing Attacks Leverage TikTok, Instagram Reels 两个社交工程 campaign 正在使用 AI 生成的 TikTok 视频和 Instagram Reels,将用户引导至可疑网站,这些网站会部署 Vidar Stealer 和其他可疑程序;有时访问者还需先完成调查问卷,才能获取承诺的下载内容。“一种方法是伪造软件安装教程,配有听起来专业的旁白和干净的图形界面,”ReversingLabs 说。“第二种方法则依赖展示如何免费使用付费软件的帖子,跨越多个视频,并在账号积累热度后引入一个集中式教程。”

两个社交工程 campaign 正在使用 AI 生成的 TikTok 视频和 Instagram Reels,将用户引导至可疑网站,这些网站会部署 Vidar Stealer 和其他可疑程序;有时访问者还需先完成调查问卷,才能获取承诺的下载内容。“一种方法是伪造软件安装教程,配有听起来专业的旁白和干净的图形界面,”ReversingLabs 说。“第二种方法则依赖展示如何免费使用付费软件的帖子,跨越多个视频,并在账号积累热度后引入一个集中式教程。”

Routers turned into C2 nodes Chinese Hackers Target Southeast Asian Edge Devices 疑似中国背景的入侵行动组已被确认正在对东南亚的边缘网络设备展开大规模 campaign。“攻击者直接将一个自定义 Linux ELF implant(router.elf)部署到被攻陷的边界路由器上,通过 DNS over HTTPS(DoH)建立持久的 command-and-control(C2),同时武器化路由器的 iptables subsystem,以大规模劫持下游 DNS 流量,”安全研究员 Y4er 说。“与之相关的 Windows 端战术利用通过 DLL sideloading(version.dll)投递的破解版 Cobalt Strike 4.4 Beacon,并与路由器 implant 共享相同的 C2 基础设施和可变形 C2 profiles——证实了统一的操作控制。”

疑似中国背景的入侵行动组已被确认正在对东南亚的边缘网络设备展开大规模 campaign。“攻击者直接将一个自定义 Linux ELF implant(router.elf)部署到被攻陷的边界路由器上,通过 DNS over HTTPS(DoH)建立持久的 command-and-control(C2),同时武器化路由器的 iptables subsystem,以大规模劫持下游 DNS 流量,”安全研究员 Y4er 说。“与之相关的 Windows 端战术利用通过 DLL sideloading(version.dll)投递的破解版 Cobalt Strike 4.4 Beacon,并与路由器 implant 共享相同的 C2 基础设施和可变形 C2 profiles——证实了统一的操作控制。”

RMM abused in Brazil NinjaOne RMM Abuse Chain Detailed 一场活跃的钓鱼 campaign 被观察到针对巴西组织,利用伪造业务文档的诱饵,最终下载了 NinjaOne Remote Monitoring and Management(RMM)agent。“该 campaign 以钓鱼邮件开始,将受害者重定向到葡萄牙语落地页,这些页面冒充巴西常见工作流程,包括与 SEFAZ 相关的税务文件、类似 Reclame Aqui 的投诉流程,以及安全文档分发门户,”Cato Networks 说。“在完成伪造验证流程后,受害者会被提示下载看似受保护的业务文档。实际上,该下载会带来一个合法的 NinjaOne RMM agent,它被配置为向攻击者控制的基础设施提供远程访问,这突出显示了 NinjaOne 在巴西威胁环境中此前未被记录的滥用方式。” 这一发展再次表明,威胁行为者如今已不再需要依赖定制恶意软件就能入侵组织。

一场活跃的钓鱼 campaign 被观察到针对巴西组织,利用伪造业务文档的诱饵,最终下载了 NinjaOne Remote Monitoring and Management(RMM)agent。“该 campaign 以钓鱼邮件开始,将受害者重定向到葡萄牙语落地页,这些页面冒充巴西常见工作流程,包括与 SEFAZ 相关的税务文件、类似 Reclame Aqui 的投诉流程,以及安全文档分发门户,”Cato Networks 说。“在完成伪造验证流程后,受害者会被提示下载看似受保护的业务文档。实际上,该下载会带来一个合法的 NinjaOne RMM agent,它被配置为向攻击者控制的基础设施提供远程访问,这突出显示了 NinjaOne 在巴西威胁环境中此前未被记录的滥用方式。” 这一发展再次表明,威胁行为者如今已不再需要依赖定制恶意软件就能入侵组织。

Money laundering goes MaaS How Mule-as-a-Service Economy Operates 网络安全公司 KELA 解析了 money mule networks 的运作方式,这些网络在现代网络犯罪和金融欺诈生态系统中扮演关键角色,使威胁行为者能够通过勒索软件、诈骗、Business Email Compromise(BEC)和其他非法方案来洗钱并变现。“近年来,传统的 mule recruitment 越来越演变为专业化的 Mule-as-a-Service(MaaS)生态系统,为网络犯罪分子提供可扩展的洗钱基础设施,”KELA 说,并补充道,“mule operations 越来越依赖被盗身份、合成身份、受侵害账户和 AI 辅助入职技术,而不再只是招募真人参与者。” 研究还发现,威胁行为者依赖伪造文件、深伪支持的 KYC 绕过方法、账户接管技术以及自动化账户‘warming’活动,在多个金融平台上建立更具韧性的洗钱基础设施。

网络安全公司 KELA 解析了 money mule networks 的运作方式,这些网络在现代网络犯罪和金融欺诈生态系统中扮演关键角色,使威胁行为者能够通过勒索软件、诈骗、Business Email Compromise(BEC)和其他非法方案来洗钱并变现。“近年来,传统的 mule recruitment 越来越演变为专业化的 Mule-as-a-Service(MaaS)生态系统,为网络犯罪分子提供可扩展的洗钱基础设施,”KELA 说,并补充道,“mule operations 越来越依赖被盗身份、合成身份、受侵害账户和 AI 辅助入职技术,而不再只是招募真人参与者。” 研究还发现,威胁行为者依赖伪造文件、深伪支持的 KYC 绕过方法、账户接管技术以及自动化账户‘warming’活动,在多个金融平台上建立更具韧性的洗钱基础设施。

AI chats exposed Browser Extensions Leak AI Conversations G DATA 表示,它观察到越来越多的 Google Chrome extensions 伪装成合法的 productivity tools,却在暗中劫持用户与 AI chatbots 的对话。其中包括 Urban VPN、Smart Sidebar: ChatGPT, Claude & DeepSeek,以及 Chat AI;后者表现出与名为 AiFrame 的 campaign 一致的特征。“通过伪装成合法工具的 plug-ins 生成的 AI 对话用户数据,仍可能被威胁行为者窃取,”G DATA 说。

G DATA 表示,它观察到越来越多的 Google Chrome extensions 伪装成合法的 productivity tools,却在暗中劫持用户与 AI chatbots 的对话。其中包括 Urban VPN、Smart Sidebar: ChatGPT, Claude & DeepSeek,以及 Chat AI;后者表现出与名为 AiFrame 的 campaign 一致的特征。“通过伪装成合法工具的 plug-ins 生成的 AI 对话用户数据,仍可能被威胁行为者窃取,”G DATA 说。

507 Meta repos exposed From Misconfigured Grafana to Read-Write Access on 507 Private Meta Repos 一个公开的 Meta IP 地址上运行的开放 Grafana instance 成为了通往 507 个 Meta 私有仓库读写访问的路径,Sectricity Security Team 因此获得了 157,000 美元的漏洞赏金。“关键跳板是 TLS 证书上的 wildcard SAN:*.llm-playground.aws.metafb.cloud,它暴露了 metafb.cloud 后面一个安静的 shadow estate,”这家网络安全公司说。“通过解析该区域的 JavaScript bundles,我们发现了对一个此前未见过的域名 api.haloworld.xyz 的引用,它成为了下一个跳板点。随后对 api.haloworld.xyz 进行轻度 fuzzing(使用 AI 根据 JS bundles、上下文等生成词表)后,暴露出 /_api/gcp-token,这是一个未认证的 endpoint,会返回有效的 GCP OAuth2 token。” 该 GCP token 随后授予对项目 Secret Manager 的读取权限,里面包含一个 Vercel token。Vercel token 暴露了 Meta 各项目中的 85 个环境变量,包括多个 GitHub personal access tokens(PAT)和其他密钥。其中一个 GitHub token 具有对 507 个私有仓库的读写访问权限。

一个公开的 Meta IP 地址上运行的开放 Grafana instance 成为了通往 507 个 Meta 私有仓库读写访问的路径,Sectricity Security Team 因此获得了 157,000 美元的漏洞赏金。“关键跳板是 TLS 证书上的 wildcard SAN:*.llm-playground.aws.metafb.cloud,它暴露了 metafb.cloud 后面一个安静的 shadow estate,”这家网络安全公司说。“通过解析该区域的 JavaScript bundles,我们发现了对一个此前未见过的域名 api.haloworld.xyz 的引用,它成为了下一个跳板点。随后对 api.haloworld.xyz 进行轻度 fuzzing(使用 AI 根据 JS bundles、上下文等生成词表)后,暴露出 /_api/gcp-token,这是一个未认证的 endpoint,会返回有效的 GCP OAuth2 token。” 该 GCP token 随后授予对项目 Secret Manager 的读取权限,里面包含一个 Vercel token。Vercel token 暴露了 Meta 各项目中的 85 个环境变量,包括多个 GitHub personal access tokens(PAT)和其他密钥。其中一个 GitHub token 具有对 507 个私有仓库的读写访问权限。

7M seniors’ data sold Fraudster Who Sold Personal Data of 7M Elderly Americans to Jamaican Scammers Jailed Troy Murray,57 岁,来自北卡罗来纳州 Hickory,因将超过 700 万名美国老年人的个人信息出售给牙买加彩票诈骗犯,被判处超过 10 年监禁。他还被责令没收 5,214,688.48 美元。美国司法部表示,Murray“设计了一项方案,组织、维护并向牙买加参与彩票诈骗计划的人员出售包含美国老年人姓名、电话号码、住址,以及在某些情况下年龄和电子邮件地址的名单。” “从 2016 年到 2023 年,Murray 将这些名单卖给牙买加诈骗分子,后者对美国老年消费者实施彩票诈骗,使 Murray 每年赚取数十万美元。” 每份名单售价 500 美元。

Troy Murray,57 岁,来自北卡罗来纳州 Hickory,因将超过 700 万名美国老年人的个人信息出售给牙买加彩票诈骗犯,被判处超过 10 年监禁。他还被责令没收 5,214,688.48 美元。美国司法部表示,Murray“设计了一项方案,组织、维护并向牙买加参与彩票诈骗计划的人员出售包含美国老年人姓名、电话号码、住址,以及在某些情况下年龄和电子邮件地址的名单。” “从 2016 年到 2023 年,Murray 将这些名单卖给牙买加诈骗分子,后者对美国老年消费者实施彩票诈骗,使 Murray 每年赚取数十万美元。” 每份名单售价 500 美元。

One-packet crash bug Researcher Releases PoC for ComoDoS 安全研究员 Marcus Hutchins 发布了 ComoDoS 的细节和概念验证(PoC)利用代码。ComoDoS 是一个位于 Comodo Internet Security 防火墙驱动 Inspect.sys 中的整数下溢漏洞(CVE-2026-49494,CVSS 评分:7.5)。“虽然该漏洞可用于远程触发 Windows kernel 中的越界(OOB)读和越界写,但这两种原语的限制让我认为它不太可能被武器化为 RCE,”Hutchins 说。“不过,这个漏洞确实允许你仅用一个 TCP/IP packet 就远程使目标系统崩溃,即使防火墙配置为阻止所有端口。” 截至发稿时,该漏洞仍未修补。

安全研究员 Marcus Hutchins 发布了 ComoDoS 的细节和概念验证(PoC)利用代码。ComoDoS 是一个位于 Comodo Internet Security 防火墙驱动 Inspect.sys 中的整数下溢漏洞(CVE-2026-49494,CVSS 评分:7.5)。“虽然该漏洞可用于远程触发 Windows kernel 中的越界(OOB)读和越界写,但这两种原语的限制让我认为它不太可能被武器化为 RCE,”Hutchins 说。“不过,这个漏洞确实允许你仅用一个 TCP/IP packet 就远程使目标系统崩溃,即使防火墙配置为阻止所有端口。” 截至发稿时,该漏洞仍未修补。

CI/CD secrets exposed Anthropic Patches Bug in Claude Code GitHub Action Microsoft 表示,其发现 Claude Code GitHub Action 存在一个问题,当 AI agents 处理不受信任的 GitHub 内容时,攻击者可借此暴露 CI/CD workflow secrets,这些内容包括 issue bodies、pull request descriptions 和 comments。“虽然 Claude Code Action 为 Bash 等子进程执行路径支持环境清理,但 Read tool 没有受到相同的 sandboxing model 约束,”这家 Windows 厂商说。“它最终被授权访问 /proc/self/environ,读取 workflow 的 ANTHROPIC_API_KEY,以及 runner 上可能可用的其他凭证。” 该问题在 2026 年 4 月 29 日按负责任披露后,于 5 月 5 日随着 Claude Code version 2.1.128 的发布得到修复。补丁通过无条件拒绝 /proc/ 中的若干文件,强化了 Read tool,以保护这些文件不被外传。

Microsoft 表示,其发现 Claude Code GitHub Action 存在一个问题,当 AI agents 处理不受信任的 GitHub 内容时,攻击者可借此暴露 CI/CD workflow secrets,这些内容包括 issue bodies、pull request descriptions 和 comments。“虽然 Claude Code Action 为 Bash 等子进程执行路径支持环境清理,但 Read tool 没有受到相同的 sandboxing model 约束,”这家 Windows 厂商说。“它最终被授权访问 /proc/self/environ,读取 workflow 的 ANTHROPIC_API_KEY,以及 runner 上可能可用的其他凭证。” 该问题在 2026 年 4 月 29 日按负责任披露后,于 5 月 5 日随着 Claude Code version 2.1.128 的发布得到修复。补丁通过无条件拒绝 /proc/ 中的若干文件,强化了 Read tool,以保护这些文件不被外传。

Fake $200K job lure Nimbus Manticore Uses Dream Job Lures 名为 Nimbus Manticore 的伊朗黑客组织通过 LinkedIn 冒充猎头接触一名员工,以每年 200,000 美元的薪资诱饵吸引对方。根据 Nextron Systems 的说法,这次互动将受害者重定向到一个名为 Ebix Recruitment 的假招聘门户,要求其输入招聘方提供的临时凭证登录网站。“完成认证后,门户又提示受害者下载一个用于‘额外安全性’的双因素认证应用,”该公司说。“该宣传中的 2FA 应用以 ZIP 压缩包形式提供,内含恶意 payload。” 攻击最终部署了一个具有数据外传和远程控制能力的自定义 implant。

名为 Nimbus Manticore 的伊朗黑客组织通过 LinkedIn 冒充猎头接触一名员工,以每年 200,000 美元的薪资诱饵吸引对方。根据 Nextron Systems 的说法,这次互动将受害者重定向到一个名为 Ebix Recruitment 的假招聘门户,要求其输入招聘方提供的临时凭证登录网站。“完成认证后,门户又提示受害者下载一个用于‘额外安全性’的双因素认证应用,”该公司说。“该宣传中的 2FA 应用以 ZIP 压缩包形式提供,内含恶意 payload。” 攻击最终部署了一个具有数据外传和远程控制能力的自定义 implant。

Backdoor with wiper modules BLUERABBIT Backdoor Comes with Ransomware and Destructive Features 网络安全研究人员披露了一款新的 Golang 后门 BLUERABBIT,它通过 RabbitMQ 承担任务分发,使用 Redis 进行状态管理,并通过 MinIO 实现兼容 S3 的数据外传。“它是一个全频谱入侵工具:远程访问、系统画像、带有 .candy 扩展名的文件加密,以及两个不同的磁盘擦除模块,能够让系统永久无法恢复,”Binary Defense 说。该后门被评估为伊朗背景威胁行为者所为。它最早在 2026 年 3 月中下旬被观察到,很可能用于针对以色列的实体。Binary Defense 还表示,BLUERABBIT“与同一可能的伊朗背景活动集群有关,该集群此前在 2025 年 6 月使用过 BLUEWIPE 和 SEWERGOO。”

网络安全研究人员披露了一款新的 Golang 后门 BLUERABBIT,它通过 RabbitMQ 承担任务分发,使用 Redis 进行状态管理,并通过 MinIO 实现兼容 S3 的数据外传。“它是一个全频谱入侵工具:远程访问、系统画像、带有 .candy 扩展名的文件加密,以及两个不同的磁盘擦除模块,能够让系统永久无法恢复,”Binary Defense 说。该后门被评估为伊朗背景威胁行为者所为。它最早在 2026 年 3 月中下旬被观察到,很可能用于针对以色列的实体。Binary Defense 还表示,BLUERABBIT“与同一可能的伊朗背景活动集群有关,该集群此前在 2025 年 6 月使用过 BLUEWIPE 和 SEWERGOO。”

事情的主线很简单:攻击者不一定总需要漏洞利用。他们需要的是耐心、被盗凭证、受信任的工具,以及一个自上次组织重组后就没人检查过的策略设置。边界不再是问题的核心。真正的问题是,边界内的一切仍然默认信任。

同样的老教训:审计你的 agents 能访问什么,把管道中的每个身份都视为风险,并检查你的 browser extensions 正在把什么数据送回去。周四见。