1、Banana Squad利用虚假的GitHub开源项目传播窃密木马

https://hackread.com/banana-squad-data-stealing-malware-github-repositories/

安全公司ReversingLabs近日披露，名为Banana Squad的威胁团伙利用虚假的GitHub开源项目传播窃密木马，目标锁定开发者及使用Python工具的用户。该团伙自2023年4月起便活跃于多个开源平台，曾大规模上传恶意软件包，此轮攻击再次表明开源生态系统面临的持续安全威胁。研究人员发现，该组织在GitHub上创建了60多个伪装成黑客工具或Python脚本的项目仓库，但其中嵌入了窃密后门代码。这些恶意项目多由“空壳”用户账号托管，仅包含一个仓库，以降低被审查的可能。部分项目还使用了代码溢出隐藏技术，即通过在文件中加入大量空格将恶意代码推至可视区域之外，使审查者难以发现异常。被感染的用户系统中，攻击者可盗取浏览器数据、应用信息、系统配置以及加密货币钱包凭据，甚至劫持交易转账。这些木马文件曾被下载近75000次，造成严重的信息泄露风险。此次事件提醒广大开发者与用户，必须加强对开源代码来源与内容的审查，采用强身份认证、依赖扫描等措施防范日益复杂的供应链攻击。对抗Banana Squad等新兴威胁已成为开源社区亟需面对的挑战。

2、史上规模最大的数据泄露事件泄露超过160亿条账户凭据

https://securityaffairs.com/179149/data-breach/researchers-discovered-the-largest-data-breach-ever-exposing-16-billion-login-credentials.html

研究人员近日披露了一起有史以来规模最大的登录信息泄露事件，涉及超过160亿条账户凭据。这些数据大多来源于信息窃取类恶意软件（infostealer），通过多个不安全的Elasticsearch或开放存储实例短暂暴露，现已对全球用户构成重大威胁。此次泄露由CyberNews团队在持续监测中发现，包含30个不同来源的大型数据集，每个数据集中包含从数千万到35亿条记录不等，平均每个数据集约5.5亿条。除了其中一个数据集曾被报道，其余29个均为首次曝光，表明这是一次规模空前的新一轮数据外泄，而非旧数据的再利用。根据研究报告，这些被泄露的信息多以URL、用户名、密码结构化存储，受影响平台包括Apple、Google、Facebook、Telegram、GitHub甚至一些政府门户。更令人担忧的是，数据还包含令牌、Cookies以及其他敏感元数据，具备极高的武器化潜力，极易被用于账户接管、身份盗用、定向钓鱼乃至勒索软件攻击。研究人员警告，这类大规模泄露不仅威胁普通用户隐私安全，也暴露出全球网络防护体系在数据保护与威胁监测方面的系统性薄弱，呼吁各组织尽快强化凭据管理、部署多因素认证，并加强对存储系统与外部访问权限的安全审查。

3、朝鲜黑客利用AI换脸视频诱骗员工感染恶意软件

https://www.bleepingcomputer.com/news/security/north-korean-hackers-deepfake-execs-in-zoom-call-to-spread-mac-malware/

安全公司Huntress披露，朝鲜APT组织BlueNoroff近期利用AI深度伪造（deepfake）视频伪装公司高管，在Zoom会议中诱导企业员工安装定制的macOS恶意软件。这一攻击于2025年6月被发现，目标是一家科技公司的员工，攻击者通过Telegram冒充外部专家发送会议链接，实则引导受害人访问伪造的Zoom网站并下载安装恶意AppleScript文件。一旦执行，该脚本会静默安装Rosetta 2并下载后门程序，最终植入包括信息窃取器、键盘记录器和远程控制工具在内的多个恶意组件，主要目标是加密货币钱包数据。此次事件表明，BlueNoroff正在结合AI换脸技术与高度定制的Mac恶意软件，持续升级攻击策略。Huntress提醒，尽管macOS长期被视为相对安全，但随着企业广泛部署，攻击者对该系统的兴趣也日益增长，用户需加强防范意识。

4、Godfather银行木马通过虚拟化运行银行应用程序窃取数据

https://www.govinfosecurity.com/godfather-malware-turns-real-banking-apps-into-spy-tools-a-28740

安全研究人员披露，移动银行木马“Godfather”已升级为具备虚拟化能力的高隐蔽性恶意软件，能够在Android设备上创建沙箱环境，运行真实银行和加密货币应用，从而实现实时控制和数据窃取。Zimperium实验室指出，该木马通过安装包含VirtualApp或Xposed等虚拟化框架的“宿主”应用，在用户手机中建立隐藏的并行空间，克隆并执行正版金融App。不同于传统伪装的覆盖攻击手法，Godfather以原生界面运行目标应用，用户难以察觉任何异常。该木马还滥用Android辅助功能监控用户输入，捕捉登录信息、短信验证码和交易细节，并通过Java层API钩子实时拦截并篡改网络通信内容。借助其强大的远程控制能力，攻击者还能操作系统设置、伪装锁屏并注入手势交互。目前该恶意软件已锁定全球近500款应用，重点攻击对象包括土耳其12家银行，同时波及金融科技、社交媒体、电商与加密平台，显示出移动威胁手段的重大跃升。

5、攻击者利用Cloudflare隧道隐匿传播Python恶意代码

https://www.theregister.com/2025/06/19/sneaky_serpentinecloud_slithers_through_cloudflare/

近期Securonix研究人员揭露了一场代号为Serpentine#Cloud的持续性恶意软件攻击活动，攻击者借助Cloudflare隧道服务在全球多个行业展开大规模渗透，利用Python恶意代码实现对受害系统的持久控制。该活动通过伪装成PDF文件的Windows快捷方式（.lnk）启动攻击链，逐步执行包含VBScript、批处理脚本及Python代码的多阶段加载流程，最终在内存中运行Donut封装的RAT后门（如AsyncRAT或Revenge RAT），实现对目标主机的完全远程控制。研究指出，攻击者滥用Cloudflare的TryCloudflare服务进行恶意流量传输，此举不仅绕过传统域名拦截机制，还利用Cloudflare的合法TLS证书隐藏通信内容，显著提高隐蔽性与溯源难度。此外，攻击链还使用WebDAV、系统启动文件夹建立持久化，并执行诱饵PDF伪装操作以降低可疑度。目前感染已波及美国、英国、德国、新加坡及印度等国家，显示出攻击者具备英语背景及跨国部署能力。安全专家提醒，组织应立即检测网络中是否访问了相关Cloudflare域名，并加强对隧道通信及脚本执行行为的监控防护。

6、微软加强Windows 365 Cloud PC默认安全策略

https://www.bleepingcomputer.com/news/security/microsoft-unveils-new-security-defaults-for-windows-365-cloud-pcs/

微软近日宣布将于2025年下半年起对新建与重建的Windows 365 Cloud PC启用一系列默认安全强化措施，旨在进一步降低数据泄露与恶意软件攻击风险。新策略包括默认禁用剪贴板、驱动器、USB与打印机的重定向功能，防止用户在本地设备与云桌面间传输文件，从而阻止恶意软件传播与敏感数据外泄。USB重定向禁用仅限于底层设备访问，高层接口设备如鼠标、键盘与摄像头将不受影响。此外，此安全默认设置也将应用于新建的Azure虚拟桌面主机池。自2025年5月起，微软已在运行Windows 11图库映像的Cloud PC中默认启用基于虚拟化的安全（VBS）、凭据防护（Credential Guard）与超管保护的代码完整性（HVCI），从内核层增强防御能力。微软还将在Intune管理中心展示提示横幅，通知管理员这些变更，并允许通过Intune或组策略覆盖默认配置，满足特定业务需求。同时，微软也计划于7月起加强Microsoft 365平台的安全措施，包括屏蔽旧版浏览器协议访问OneDrive与SharePoint、禁止Office通过FPRPC协议打开文件，并逐步禁用ActiveX控件。此外，Outlook将新增.block附件类型扩展名限制，Teams也将在会议中引入屏幕截图阻止功能，全方位提升用户安全防护能力。

7、黑客利用搜索参数注入在正规网站植入虚假客服电话

https://hackread.com/scammers-fake-support-numbers-real-apple-netflix-paypal/

研究人员发现，一种新型网络诈骗正通过“搜索参数注入”攻击手法，在苹果、Netflix、PayPal等知名企业官网页面上插入虚假的客服号码，诱导用户主动拨打，从而窃取敏感信息。该技术被Malwarebytes的高级研究主管Jérôme Segura曝光，目前已波及包括Bank of America、微软、Facebook等多个主流平台。攻击通常以Google搜索中的广告链接为入口，用户点击后虽确实进入了官方网站，但由于搜索功能未对输入参数进行足够过滤，攻击者通过构造特殊URL，将假的客服电话号插入搜索结果页面，使其看似官方发布。用户一旦拨打页面上的号码，就会接入伪装成客服的骗子，进而被骗提供银行卡信息、验证码，甚至被远程控制设备。Malwarebytes的浏览器防护工具能识别部分攻击并发出“搜索劫持”警告，但仍有部分伪装精巧的案例难以被察觉，尤其是在页面提示“未找到相关结果”并引导拨打号码的场景下更具迷惑性。安全专家提醒，用户若在浏览网页时看到“立即拨打”或“紧急客服”等字样，应高度警惕。验证官方联系方式应通过官网导航或认证社交平台，切勿盲目信任搜索结果中的号码。

8、攻击者通过GitHub平台传播针对Minecraft玩家的恶意软件

https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/

Check Point研究人员披露，一种专门针对Minecraft玩家的多阶段恶意软件近期通过GitHub平台传播，伪装成作弊工具如Oringo和Taunahi模组，诱导用户下载安装。该攻击活动由名为Stargazers Ghost Network的恶意分发即服务平台（DaaS）支持，利用Java与.NET构建的信息窃取链条，对玩家的敏感信息进行窃取。此次攻击自2025年3月以来活跃，利用Minecraft模组社区的开放性和信任机制，将恶意JAR文件伪装为Forge插件分发。第一阶段Java加载器在执行前会检测虚拟机和分析工具，规避安全审查；若环境通过验证，加载器将下载第二阶段Java窃取器，用于收集Minecraft账户、Discord会话数据等。随后它还下载第三阶段的.NET窃取器，进一步窃取浏览器凭据、加密货币钱包、VPN配置等信息，并通过Discord webhook进行外发。该恶意软件仅在检测到Minecraft运行环境时才执行，显示出强定向特性。同时，样本中存在大量俄语注释和命名，表明其可能由讲俄语的威胁行为者开发和运营。

9、美国司法部追回投资诈骗中被盗的2.25亿美元加密货币

https://www.bleepingcomputer.com/news/legal/us-recovers-225-million-of-crypto-stolen-in-investment-scams/

美国司法部查获了与投资欺诈和洗钱活动有关的超过2.25亿美元的加密货币，这是美国特勤局历史上最大的加密货币查获案。此次行动由联邦调查局（FBI）特勤局联合区块链分析公司TRM Labs及稳定币发行商Tether共同完成，揭露了一个利用复杂链上交易网络洗钱的跨国犯罪集团。涉案犯罪集团通过虚假加密货币投资平台诱导受害者，谎称提供高回报理财项目，实际实施“杀猪盘”诈骗。据司法部公告，全球至少400名受害者受骗，其中包括数十名美国人。2024年全球加密货币投资诈骗报告损失达58亿美元，凸显此类犯罪猖獗。执法部门采用LIFO（后进先出）链上追踪技术，锁定93个诈骗存款地址35个中转钱包，最终追踪至7个USDT钱包集群，总金额2.253亿美元。为掩盖资金流向，犯罪集团执行了数十万笔链上交易，甚至支付高达12.5万美元的Gas费干扰调查。扣押资金将进入司法没收程序，未来或通过索赔机制返还受害者。此案标志着执法机构在加密货币犯罪调查中技术协作与法律工具的成熟应用，也为全球打击类似犯罪提供范本。

10、英国拟建立国家数据图书馆对AI治理的启示

https://www.secrss.com/articles/80034

1月13日，英国首相斯塔默宣布“人工智能机遇行动计划”，其中提到创建国家数据图书馆以安全可靠地释放公共数据的价值，支持人工智能的发展。近期，英国托尼·布莱尔全球变革研究所发布《Governing in the Age of AI》报告，提出建立国家数据图书馆，以解决英国现有数据基础设施落后的问题，消除数据访问的系统性障碍，充分释放数据在驱动AI创新发展中的潜力。当前，英国公共部门数据面临数据分散、数据访问成本高、数据安全性不足等突出挑战。为打破这一困境，国家数据图书馆被视为英国数字化转型议程的核心支柱。本文通过分析英国在AI创新发展中面临的数据难题，及报告提出的国家数据图书馆构建路径，研判全球AI数据治理面临的挑战，并为我国规避“数据孤岛”与“治理失灵”提出启示及建议。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。