1、伪装成合法应用程序的恶意npm包远程删除应用

https://www.scworld.com/news/fake-npm-utilities-remotely-delete-entire-app-directories

安全公司Socket披露，两个伪装为合法开发工具的恶意NPM软件包被发现具备远程删除应用目录的破坏性功能。这两个名为express-api-sync与system-health-sync-api的工具包由用户“botsailer”于2025年6月3日上传至NPM平台，目前已被官方下架。其中，express-api-sync号称能同步Express应用数据库，实则注册了一个隐藏HTTP接口/api/this/that，一旦接收到携带特定“杀伤密钥”的POST请求，就会通过系统命令rm -rf *删除工作目录下所有文件。更复杂的system-health-sync-api不仅包含合法依赖和健康检查接口，还暗藏两个后门路径（//system/health和//sys/maintenance），可在攻击者远程指令下删除文件。攻击者还通过收集系统主机名、IP及环境变量哈希实现识别与追踪，通信使用邮箱地址anupm019@gmail[.]com。尽管两个软件包下载量仅300次左右，但其高度伪装和远程“自毁”机制暴露了NPM生态潜在的破坏性威胁。Socket警告，未来类似攻击可能将针对更广泛的开发框架并持续演化。

2、新的Mirai变种利用命令注入漏洞大规模感染TBK DVR设备

https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/

安全研究人员发现，一个新的Mirai僵尸网络变种正在大规模利用数字录像机（DVR）中的命令注入漏洞（CVE-2024-3721），将设备纳入其控制之下。该漏洞影响TBK Vision的DVR-4104与DVR-4216型号设备，由安全研究员“netsecfish”于2024年4月披露，并提供了可执行远程命令的漏洞利用PoC代码。卡巴斯基在其Linux蜜罐中捕获到了该漏洞的活跃利用行为。攻击者通过构造特定的POST请求并利用mdb与mdc参数注入Shell命令，成功投递一个ARM32架构的Mirai变种恶意程序。该程序随后与攻击者的C2服务器建立通信，将受害设备加入僵尸网络。此次Mirai变种引入了RC4字符串加密、反虚拟机和反仿真检测机制，增强了逃避分析的能力。全球约有超过5万个DVR设备仍暴露在互联网上，易遭利用。专家建议用户尽快更新设备补丁，或在无法更新的情况下进行恢复出厂设置，以避免设备被用于发起DDoS等恶意行为。

3、研究人员揭露了一起针对NPM的新型供应链攻击事件

https://securityaffairs.com/178772/malware/over-950k-weekly-downloads-at-risk-in-ongoing-supply-chain-attack-on-gluestack-packages.html

网络安全公司Aikido Security揭露了一起针对NPM生态的重大供应链攻击事件，攻击者成功篡改了Gluestack框架中16个广泛使用的react-native-aria相关软件包，影响超过95万次的每周下载量。此次攻击始于美东时间6月6日下午4点33分，最初针对react-native-aria/focus包发布了含远程访问木马（RAT）功能的恶意更新，随后迅速扩散至其他15个软件包。攻击者将恶意代码注入各个包的lib/index.js文件，意图实现对开发者环境的远程控制。Aikido指出，这场攻击手法与先前他们发现的另一起针对rand-user-agent包的攻击高度相似，疑似为同一攻击者所为。该攻击使用多层混淆技术，隐藏恶意有效载荷。研究人员提醒开发者持续关注相关更新，并及时审查自身项目中依赖的受影响组件。这起事件再次表明，开源供应链中的信任缺口，正成为攻击者的突破口。

4、微软协助CBI捣毁日本技术支持诈骗案背后的印度呼叫中心

https://thehackernews.com/2025/06/microsoft-helps-cbi-dismantle-indian.html

印度中央调查局（CBI）于2025年5月28日展开“Chakra V行动”，联合日本国家警察厅与微软，成功捣毁两个位于德里、哈里亚纳邦和北方邦的非法呼叫中心，逮捕6名涉案人员。这些犯罪团伙冒充微软等跨国公司技术支持，利用社交工程手段欺骗日本民众，谎称其设备遭黑客入侵，从而诱导其转账至“骡子账户”。CBI在19处地点搜查并查获大量电子设备和证据。微软表示，自2024年5月以来，已协助下线约66000个恶意域名和URL，并指出犯罪团伙还使用生成式AI自动创建弹窗、翻译语言、寻找受害者，展现出极强的欺诈规模化能力。此次跨国合作也揭示出整个诈骗生态链条，从搜索引擎优化、引流、支付到技术与人力支持的黑色产业。此案凸显全球打击网络犯罪需多国联合响应，持续推进情报共享与行动协同。

5、攻击者利用ClickFix诱骗苹果用户下载AMOS窃密软件

https://www.freebuf.com/articles/endpoint/433906.html

网络安全研究人员近日发现一种新型恶意软件攻击活动，攻击者利用ClickFix社会工程学手段诱骗用户在苹果macOS系统上下载名为Atomic macOS Stealer（AMOS）的信息窃取程序。

6、基于Rust的新型木马针对Chromium内核浏览器进行窃密

https://www.freebuf.com/news/434046.html

近日，研究人员发现一款采用Rust语言编写的新型信息窃取恶意软件，它能够从基于Chromium内核和Gecko内核的网页浏览器中提取敏感数据。

7、黑客利用iMessage零点击漏洞攻击iPhone用户

https://www.freebuf.com/articles/endpoint/433950.html

网络安全公司iVerify发现，苹果iMessage中存在一个此前未知的零点击漏洞（zero-click vulnerability），已被复杂威胁行为者用于攻击美国和欧盟地区的知名人士。该漏洞代号"NICKNAME"，影响iOS 18.1.1及更早版本，苹果已在iOS 18.3中静默修复。

8、思科ISE关键漏洞影响AWS、微软Azure及Oracle云基础设施部署

https://securityaffairs.com/178659/uncategorized/critical-flaw-in-cisco-ise-impacts-cloud-deployments-on-aws-microsoft-azure-and-oracle-cloud-infrastructure.html

思科修复ISE关键漏洞（CVE-2025-20286，CVSS 9.9），云部署中相同版本和平台会共享凭证，攻击者可跨实例访问敏感数据或破坏服务。建议限制IP访问并重置凭证。

9、美国360万创作者隐私数据因数据库未加密保护遭泄露

https://hackread.com/unsecured-database-exposes-passion-io-creators-data/

网络安全团队发现Passion.io平台未加密数据库泄露360万用户敏感信息，含姓名、地址及支付明细，存在严重滥用风险。公司迅速响应修复漏洞。专家建议企业强化认证、加密数据、检测配置错误、定期审计并加强安全培训，以防范类似事件。

10、Dell PowerScale OneFS系统高危漏洞允许完全控制系统

https://www.freebuf.com/articles/system/433960.html

研究人员发现 Dell PowerScale OneFS 系统存在一个严重漏洞（CVE-2023-32484），该漏洞在通用漏洞评分系统（CVSS）中获得 9.8 分的高危评级。攻击者无需身份验证即可利用此漏洞完全控制系统。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。