1、以色列NSO因Pegasus攻击WhatsApp被美国罚款1.68亿美元

https://hackread.com/israeli-nso-group-fine-pegasus-spyware-attack-whatsapp/

美国加州联邦陪审团裁定以色列间谍软件公司NSO Group需向WhatsApp支付总计约1.68亿美元的赔偿金，包括1.67亿美元惩罚性赔偿及44.47万美元补偿性赔偿。此案源于2019年NSO利用WhatsApp语音通话漏洞（CVE-2019-3568）部署Pegasus间谍软件，非法监控全球1400名用户。被监听的用户包括记者、人权活动家及外交官等。

2、南非航空公司遭受网络攻击

https://thecyberexpress.com/saa-cyberattack-system-restored-same-day/

南非航空公司（SAA）遭遇网络攻击导致其网站、移动应用程序及部分内部系统出现临时中断，其响应团队迅速采取行动遏制了中断并启动了全面调查。SAA在声明中表示，事件发生后立即启动了灾难管理和业务连续性协议，确保了核心航班运营的稳定，并维持了客户服务中心和销售办公室等关键客户服务渠道的正常运作。目前，SAA已引入独立的数字取证调查人员来确定事件根源，并评估数据泄露的范围，目前尚未确认是否存在客户和员工数据是泄露。

3、Azure存储工具AZNFS-mount漏洞可导致Linux系统权限提升

https://cybersecuritynews.com/azure-storage-utility-vulnerability/

微软Azure的AZNFS-mount工具（用于通过NFS协议挂载Azure Blob存储）存在权限提升漏洞。该漏洞影响所有版本≤2.0.10的AZNFS-mount组件，主要涉及预装该工具的Azure高性能计算/人工智能（HPC/AI）镜像的Linux系统，攻击者可从未授权用户权限提升至root权限，完全控制系统。

4、攻击者利用仿冒的AI视频生成平台传播Noodlophile窃密木马

https://www.morphisec.com/blog/new-noodlophile-stealer-fake-ai-video-generation-platforms/

攻击者利用公众对人工智能的兴趣，通过仿冒的AI视频生成平台传播Noodlophile窃密木马。这些平台通过Facebook等社交媒体宣传吸引用户，诱骗用户上传图片或视频进行处理，实际下载的文件中包含Noodlophile窃密木马。攻击链包括多个阶段和组件，包括伪装成视频文件的可执行文件、隐藏文件夹和恶意DLL等，Noodlophile窃密木马可窃取受害者浏览器凭证、加密货币钱包等敏感数据，同时还具备部署其他木马的恶意功能。

5、APT35组织伪造德国模特经纪网站窃取用户设备指纹数据

https://cybersecuritynews.com/iranian-hackers-impersonate-as-model-agency/

由伊朗支持的黑客组织APT35伪造了德国模特经纪公司的官方网站，并借助高仿的钓鱼网站开展精准网络间谍活动。具体而言，该钓鱼网站会动态加载恶意JavaScript代码。当访问者进入网站时，这些代码便会发挥作用，收集访问者的浏览器配置信息、屏幕分辨率、本地及公网IP地址（其中公网IP地址的获取利用了WebRTC漏洞），还会收集设备指纹。此外，攻击者利用Canvas指纹技术为每个设备生成唯一的标识。随后，他们将IP地址与浏览器指纹相结合，构建出受害者的详细画像，以便后续开展定向攻击。

6、美荷联合执法端掉7000台IoT设备组成的代理僵尸网络

https://thehackernews.com/2025/05/breaking-7000-device-proxy-botnet-using.html

美国与荷兰执法部门联合开展了代号为“Operation Moonlander”的行动，成功摧毁了一个由7000台感染设备（包括物联网设备及已到生命周期（EoL）的系统）构成的代理僵尸网络。该僵尸网络依赖恶意软件TheMoon感染设备，它通过扫描开放端口并利用未修补的漏洞进行传播。此僵尸网络通过anyproxy.net和5socks.net进行运营，为黑客提供匿名代理服务，订阅费用为每月9.95美元至110美元不等，攻击者通过该网络累计非法获利超4600万美元。黑客支付加密货币后，可获取代理IP和端口，并利用这些信息匿名实施DDoS攻击、数据窃取等犯罪活动。在这次联合执法行动中，4名俄罗斯籍和哈萨克斯坦籍嫌疑人被起诉，美国联邦调查局（FBI）查封了9个相关域名，并缴获了价值3.05万美元的加密货币钱包及相关设备。

7、恶意npm包伪装开发工具窃取macOS Cursor IDE用户权限

https://socket.dev/blog/malicious-npm-packages-hijack-cursor-editor-on-macos

研究人员发现一起针对macOS Cursor IDE用户的恶意攻击活动。攻击者通过伪装成开发工具的恶意npm包实施攻击，用于窃取用户凭据并修改文件，从而获得持久的后门访问权限。在本次活动中，研究人员共发现三个恶意npm包。这些包的目标锁定为macOS版的热门Cursor AI代码编辑器。它们伪装成提供Cursor API的开发者工具，诱导用户进行安装使用。一旦用户安装并使用这些npm包，攻击者的恶意行为便会启动。它们会窃取用户凭证，从攻击者控制的命令与控制（C2）地址中获取加密载荷，随后覆盖Cursor的main.js文件，并禁用自动更新功能，以此维持其在系统中的持久性。经调查，这些恶意软件包由一名威胁行为者使用npm别名gtr2018和aiide发布。截至发现时，这些npm包已被下载超过3200次。

8、黑客使用Blob URI伪造登录页实施精准钓鱼

https://hackread.com/phishing-attack-blob-uri-fake-login-pages-browser/

安全研究人员发现了一种新型钓鱼攻击，该攻击利用浏览器的Blob URI特性，通过伪造银行、社交媒体等可信域名下的登录页面，诱导用户输入敏感信息。浏览器能够使用Blob来处理临时数据，典型的Blob数据包括图片、音频和PDF文件等二进制内容，用户可以使用Blob URI来访问这些Blob数据。攻击者将恶意代码嵌入到通过JavaScript生成的Blob对象中，从而生成伪合法URL，并利用浏览器同源策略的漏洞绕过传统的域名检测机制。在此次攻击活动中，攻击者通过发送钓鱼邮件诱导用户点击邮件中的“登录”按钮。一旦用户点击该按钮，便会被重定向到攻击者控制的HTML页面。成功重定向到威胁行为者的网站后，用户的浏览器将下载并显示一个基于HTML的Blob URI页面。该页面在自动加载Blob URI后，仅生成它的浏览器能够访问。此外，攻击者还伪造了OneDrive的登录页面，无论用户在页面中的哪个选项输入凭证，电子邮件地址和密码信息都会泄露给攻击者。

9、攻击者通过SEO投毒技术攻击IT管理员

https://cybersecuritynews.com/hackers-attacking-it-admins-by-poisoning-seo/

安全研究人员发现了一种针对IT管理员的复杂攻击活动。攻击者利用SEO投毒技术，将恶意软件的链接推到搜索引擎结果的顶部。当管理员搜索常用工具时，可能会下载到伪装成合法版本的恶意软件，这些恶意软件含有隐藏的恶意载荷。攻击载荷通常伪装成管理员搜索的合法管理软件，并与后门代码一起运行，以此建立命令和控制渠道而不引起怀疑。在此次攻击活动中，一旦恶意软件被执行，就会部署一个基于.NET框架开发的SMOKEDHAM后门木马程序，该后门木马程序为攻击者提供了对设备的持久访问权限。

10、PupkinStealer窃密木马窃取浏览器凭据

https://cybersecuritynews.com/pupkinstealer-a-new-net-based-malware-steals-browser-credentials-exfiltrate-via-telegram/

研究人员发现了一款由新型.NET框架开发的窃密木马PupkinStealer，该木马专门窃取用户浏览器的凭据、桌面文件以及通信应用的会话数据，并通过Telegram Bot实现数据的隐蔽外泄。这款木马自2025年4月起开始活跃，由开发者“Ardent”编写。其主要攻击目标包括基于Chromium内核的Chrome、Edge、Opera等浏览器，能够解密浏览器数据库，窃取Telegram的tdata文件夹内容以及Discord令牌，同时还会窃取用户桌面截图。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。