1、朝鲜黑客组织利用35个npm软件包传播恶意软件

https://socket.dev/blog/north-korean-contagious-interview-campaign-drops-35-new-malicious-npm-packages

Socket安全研究团队披露，朝鲜黑客组织“Contagious Interview”近期再度发动供应链攻击，投放35个恶意npm软件包，并利用LinkedIn冒充招聘人员诱导开发者执行多阶段恶意代码。这一行动与早前披露的“Contagious Interview”社工攻击活动相一致，目标为正在求职的开发者群体。此次攻击中，黑客通过24个npm账号上传带有HexEval加载器的恶意包，并成功诱骗部分开发者在本地运行这些包含恶意依赖的“作业任务”。HexEval加载器在安装时悄悄收集主机信息，并在触发条件下拉取并执行第二阶段信息窃取程序BeaverTail。BeaverTail专门搜索浏览器缓存、加密货币钱包数据、系统密钥链等敏感信息，并视平台环境加载特定窃密逻辑。进一步，它还能下载第三阶段后门程序InvisibleFerret，实现更持久的系统控制。研究人员指出，攻击者将模块名和C2地址编码为十六进制以绕过静态分析，同时构建跨平台键盘记录器增强监控能力。部分软件包中嵌入了基于操作系统的本地钩子组件，可实时捕捉按键数据，进一步暴露受害者隐私。

2、黑客利用ClickOnce与AWS服务发起攻击行动

https://www.bleepingcomputer.com/news/security/oneclik-attacks-use-microsoft-clickonce-and-aws-to-target-energy-sector/

安全公司Trellix近日揭露一项名为“OneClik”的复杂攻击行动，攻击者利用微软ClickOnce部署技术及亚马逊云服务，配合Golang后门“RunnerBeacon”，针对能源、石油和天然气等关键行业展开隐蔽攻击。此行动自2023年已有前兆，于2025年3月起持续活跃，具备高度隐匿性及沙箱逃避能力。攻击链始于钓鱼邮件，诱导受害者点击托管于Azure平台的虚假硬件分析网站，从而下载安装伪装为工具的.APPLICATION文件。该文件通过ClickOnce机制由dfsvc.exe执行，绕过用户权限控制，进而加载.NET恶意组件OneClikNet，通过AppDomainManager注入手法劫持合法程序如ZSATray.exe执行恶意指令。后续载荷RunnerBeacon通过RC4加密及MessagePack序列化方式与攻击者通信，具备远程命令执行、文件操作、进程枚举、端口扫描及SOCKS代理功能，并使用“obfuscate_and_sleep”机制与随机beacon间隔增加分析难度。

3、黑客利用Microsoft 365的“Direct Send”功能实施钓鱼攻击

https://www.bleepingcomputer.com/news/security/microsoft-365-direct-send-abused-to-send-phishing-as-internal-users/

安全公司Varonis发现，一场自2025年5月起发起的广泛钓鱼攻击活动正在利用Microsoft 365的“Direct Send”功能，通过仿冒公司内部邮件欺骗用户并窃取凭证。Direct Send原本是为打印机、扫描仪等设备设计的邮件发送机制，允许通过企业的SMTP智能主机发送邮件而无需身份验证。然而，这一机制的安全隐患正被攻击者利用，其发出的邮件可绕过SPF、DKIM与DMARC验证，伪装成来自企业内部员工。该攻击行动已波及超过70家企业，涵盖金融、制造、建筑、医疗和保险等多个行业，其中95%的受害者位于美国。攻击者通过PowerShell脚本调用目标公司的主机，如company-com.mail.protection.outlook.com，从外部IP（如乌克兰IP 139.28.36[.]230）发送伪装为内部员工的钓鱼邮件。邮件以“语音留言”或“传真信息”为主题，附件为伪装成传真通知的PDF文件，内含二维码，诱导用户用手机扫描并访问伪造的Microsoft登录页面，从而窃取登录凭证。

4、CISA确认攻击者正利用AMI MegaRAC漏洞进行攻击

https://securityaffairs.com/179354/security/u-s-cisa-adds-ami-megarac-spx-d-link-dir-859-routers-and-fortinet-fortios-flaws-to-its-known-exploited-vulnerabilities-catalog.html

美国网络安全与基础设施安全局（CISA）近日将三个已被广泛利用的高危漏洞新增至其“已知被利用漏洞”（KEV）目录，包括AMI MegaRAC SPx身份验证绕过漏洞（CVE-2024-54085）、D-Link DIR-859路由器路径遍历漏洞（CVE-2024-0769）以及Fortinet FortiOS硬编码凭证漏洞（CVE-2019-6693）。根据美国联邦绑定操作指令BOD 22-01，所有FCEB联邦机构必须在2025年7月16日前完成漏洞修复。CVE-2024-54085是影响AMI MegaRAC SPx服务器管理固件的认证绕过漏洞，攻击者可通过身份伪造绕过访问控制机制，远程控制设备；而CVE-2019-6693则涉及Fortinet FortiOS设备使用硬编码凭证的问题，长期以来为攻击者提供系统后门，威胁关键基础设施安全。CISA已要求美国联邦机构按期完成修复，并建议私营部门也应参照KEV目录中的条目，尽快排查并加固系统，防止受漏洞攻击的风险扩大。

5、全球数百款打印机曝出安全漏洞且无法通过固件修复

https://www.bleepingcomputer.com/news/security/brother-printer-bug-in-689-models-exposes-default-admin-passwords/

据Rapid7研究人员披露，Brother品牌多达689款打印机存在一个严重漏洞（CVE-2024-51978），允许远程攻击者基于序列号推算出设备的默认管理员密码，从而接管打印机。更令人担忧的是，该漏洞无法通过固件更新修复，因其源于硬件制造时的密码生成逻辑。该漏洞是Rapid7历时研究Brother硬件时发现的8个漏洞之一，其密码生成算法使用设备序列号加静态“盐”值进行SHA256哈希，并通过Base64编码后截取前8位，最终替换字符生成默认密码。由于该算法可逆，攻击者一旦获取序列号（如通过CVE-2024-51977泄露），便可还原密码并登录设备。尽管大部分厂商已发布固件更新修复相关问题，但Brother方面表示CVE-2024-51978无法通过软件完全修补，需在新生产设备中变更密码生成机制。Rapid7建议用户立刻修改默认管理员密码，并尽快部署官方提供的固件补丁，同时限制打印机管理接口的外部访问以降低风险。

6、Cisco网络访问控制平台存在两个远程代码执行漏洞

https://www.bleepingcomputer.com/news/security/cisco-warns-of-max-severity-rce-flaws-in-identity-services-engine/

Cisco近日发布安全公告，披露其网络访问控制平台Identity Services Engine（ISE）以及Passive Identity Connector（ISE-PIC）中存在两个严重的远程代码执行（RCE）漏洞，编号为CVE-2025-20281与CVE-2025-20282，CVSS评分均为最高的10.0。CVE-2025-20281漏洞源于公开API未充分验证用户输入，攻击者可通过特制请求在目标系统上以root权限执行任意命令；而CVE-2025-20282则由于内部API文件验证不足，允许攻击者上传任意文件至高权限目录，并执行恶意代码。前者影响ISE与ISE-PIC的3.3与3.4版本，后者仅影响ISE 3.4。ISE广泛部署于政府、企业、高校及服务提供商网络核心，作为身份管理与访问策略控制平台。这两个漏洞一旦被利用，可实现对目标设备的完全远程接管，无需任何身份认证或用户交互，风险极高。

7、攻击者伪造DocuSign电子邮件进行网络钓鱼

https://www.malwarebytes.com/blog/news/2025/06/fake-docusign-email-hides-tricky-phishing-attempt

近日有研究者披露了一起巧妙的仿冒DocuSign钓鱼攻击案例，该攻击通过合法渠道绕过常规安全检测，并借助Webflow网站预览功能隐藏恶意跳转行为。攻击者发送一封来自“可信联系人”的DocuSign签署通知邮件，邮件成功通过了SPF、DKIM和DMARC认证，极具迷惑性。邮件中的“查看文档”链接实际指向Webflow的预览地址，这一合法的页面初看无异常，但随后跳转至伪造的DocuSign风格界面，点击“查看文档”按钮后又跳转到一个可疑域名，如s‍jw.ywmzoebuntt.es，并呈现简化的伪验证码界面诱导用户点击。最终，用户被重定向到真正的Google登录页，使整个流程显得可信，掩盖了中间的数据采集行为。研究者分析认为，此类攻击属于“探测型钓鱼”操作：通过初步访问采集用户设备指纹信息（如IP地址、浏览器、硬件信息等），筛选目标进行后续更精准的攻击，而非立即投放恶意程序。

8、APT42黑客组织针对以色列学者发起钓鱼攻击

https://securityaffairs.com/179372/apt/apt42-impersonates-cyber-professionals-to-phish-israeli-academics-and-journalists.html

以色列安全公司Check Point近日发布报告称，伊朗背景的APT42（又名Educated Manticore、Charming Kitten、Mint Sandstorm）近期针对以色列记者、网络安全专家及学术人员发起了一波精准的钓鱼攻击行动。该行动自2025年1月起持续至今，于6月中旬加剧，攻击者伪装成网络安全从业者，通过电子邮件和WhatsApp进行接触，借助AI生成的措辞专业信息骗取信任，再诱导受害者登录伪造的Google登录界面，从而窃取邮箱凭证和双因素认证代码。APT42使用了定制化的React单页应用（SPA）钓鱼套件，伪装成Google登录界面，并内置实时按键记录器与WebSocket数据通道，能即时传输受害者输入的账号、密码及2FA验证码。此外，攻击者还使用Google Sites托管的虚假Google Meet邀请页面，以增加钓鱼攻击的可信度。

9、研究人员发现超过7000个MCP服务器因配置错误存在安全风险

https://www.govinfosecurity.com/misconfigured-ai-servers-weak-configurations-expose-data-systems-a-28853

安全公司Backslash Security警告称，全球已有超过7000台Model Context Protocol（MCP）服务器因配置不当而暴露在公共互联网中，给AI应用程序带来严重安全隐患。MCP协议自2023年11月才刚出现，但因其能将AI模型连接至组织内部敏感数据，部署速度惊人，目前全球部署数量已超过15000台。研究人员指出，大量MCP服务器缺乏认证控制机制，允许未经授权的设备连接访问，尤其在本地网络中形成所谓的“邻居劫持”（neighborjacking）风险。更严重的是，约70台服务器存在关键漏洞，如路径遍历及未对用户输入进行净化处理，其中部分系统甚至会将用户输入作为Shell命令执行，导致攻击者可远程执行任意代码、删除数据或完全控制主机。此外，MCP服务器还可能被用于“上下文投毒”，攻击者通过操控送入AI模型的数据内容，影响模型输出的准确性与可信度。在一例中，研究人员发现某企业部署的MCP为数万用户提供服务，却未设置任何数据篡改防护机制。

10、NRS黑客攻击事件已影响超过50万名患者

https://www.govinfosecurity.com/nationwide-recovery-service-hack-grows-to-500000-victims-a-28835

2024年针对美国医疗债务催收公司Nationwide Recovery Service（NRS）的黑客攻击事件持续发酵，受影响的患者人数已超过50万。NRS最初于去年9月向美国卫生与公众服务部（HHS）报告称，事件影响仅为501人，但随着多个合作医疗机构陆续提交数据泄露报告，实际受害规模大幅攀升。近期，包括Select Medical（11.9万人）、UChicago Medicine Medical Group（3.8万人）、Shore Medical Center（3.1万人）以及Radiology Chartered等在内的多家医疗机构确认因NRS数据泄露影响其患者。NRS在2024年7月5日至11日期间遭遇未经授权的入侵，黑客访问并复制了包含个人姓名、地址、社会安全号码、出生日期、账户余额及医疗账单信息等敏感数据的文件。尽管受害机构强调其自身IT系统未遭破坏，但作为业务外包方的NRS成为攻击突破口，引发行业对第三方数据安全的严重担忧。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。