1、MacOS.ZuRu恶意软件通过篡改Termius应用程序传播

https://www.sentinelone.com/blog/macos-zuru-resurfaces-modified-khepri-c2-hides-inside-doctored-termius-app/

安全研究人员发现，MacOS.ZuRu后门的最新变种通过篡改的Termius应用程序传播。该恶意软件最初于2021年7月被发现，主要通过百度上的恶意网页搜索结果传播。此次攻击中，攻击者将合法的Termius应用程序木马化，通过磁盘映像（.dmg）传播。木马版本比合法版本大，因为添加了恶意二进制文件。攻击者还替换了开发者的代码签名，以绕过macOS的代码签名规则。该恶意软件使用修改后的Khepri C2框架进行感染后操作，能够实现文件传输、系统侦察、进程控制等功能。研究人员建议用户检查相关指标，以防止感染。

2、GoldMelody攻击活动利用ASPNET漏洞入侵服务器

https://unit42.paloaltonetworks.com/initial-access-broker-exploits-leaked-machine-keys/

研究人员发现了一个名为GoldMelody（临时编号TGR-CRI-0045）的攻击活动，该组织利用泄露的ASP.NET机器密钥，通过IIS模块的视图状态反序列化漏洞入侵服务器。攻击者通过恶意负载签名绕过保护机制，在服务器内存中直接执行代码，留下极少痕迹，增加了检测难度。此次攻击主要针对欧美地区的金融服务、制造业、高科技等行业，攻击活动自2024年10月开始，2025年初显著增加。受害者多因机器密钥泄露而被入侵。研究人员建议组织查看Microsoft指南，识别并修复受损密钥，并通过相关安全产品和服务增强防护。

3、LogoKit网络钓鱼活动瞄准全球多目标窃取凭证

https://cyble.com/blog/logokit-being-leveraged-for-credential-theft/

安全研究机构发现了一起利用LogoKit工具包的网络钓鱼活动，该活动通过提取品牌资产并模仿合法网站来窃取用户凭证。攻击者利用Clearbit和Google Favicon获取目标组织的徽标，增强钓鱼页面的可信度。钓鱼页面托管在Amazon S3上，使用Cloudflare Turnstile增加安全性假象。此次攻击活动已针对匈牙利政府机构、银行和物流公司等全球多个实体，攻击链接在VirusTotal上未被检测到，表明活动仍在持续进行。专家建议用户采取主动防御措施，如使用CTI解决方案和多因素身份验证，以应对此类复杂网络钓鱼威胁。

4、、浏览器扩展暗藏恶意劫持与监视功能

https://blog.koi.security/google-and-microsoft-trusted-them-2-3-million-users-installed-them-they-were-malware-fb4ed4f40ff5

网络安全研究团队发现一系列热门浏览器扩展程序存在恶意行为。这些扩展包括表情符号键盘、天气预报、视频速度控制器等工具，表面上提供合法功能，实则暗中监视用户浏览器活动并劫持页面。这些扩展程序通过命令和控制服务器（如admitclick.net）发送用户数据，并可能自动重定向用户到恶意页面。值得注意的是，这些扩展程序部分已在Chrome和Edge商店获得验证或推荐，影响超过230万用户。恶意软件通过版本更新植入，利用浏览器的自动更新机制传播。专家建议用户立即删除受影响扩展程序，清除浏览器数据，并进行全面系统扫描。

5、Ruckus Networks管理设备多个漏洞未修复

https://www.bleepingcomputer.com/news/security/ruckus-networks-leaves-severe-flaws-unpatched-in-management-devices/

Ruckus Networks的管理设备被发现存在多个严重漏洞，但截至目前仍未修复。这些漏洞影响Ruckus Wireless Virtual SmartZone (vSZ) 和Ruckus Network Director (RND)，涉及未经身份验证的远程代码执行、硬编码密码、SSH密钥以及路径遍历等问题。受影响的产品广泛用于大型组织和公共实体的WiFi基础设施，攻击者可利用这些漏洞获取管理员权限，甚至完全破坏网络环境。由于漏洞尚未修复，建议管理员限制对Ruckus管理接口的访问，并仅通过安全协议进行访问。

6、AMD发出警告新型瞬态调度程序攻击影响多款CPU

https://thehackernews.com/2025/07/amd-warns-of-new-transient-scheduler.html

半导体公司AMD警告称，一种名为瞬态调度程序攻击（TSA）的新型漏洞可能影响其多款处理器，导致信息泄露。TSA是一种推测性侧信道攻击，利用CPU的微架构特性，通过指令执行时间推断数据。研究人员在对虚拟机、内核和进程等安全域进行压力测试时发现了这些问题。AMD已为受影响的处理器发布微代码更新，包括第三代至第四代EPYC处理器、Ryzen系列处理器等。攻击者需获得目标机器的访问权限才能利用这些漏洞，专家表示，TSA的利用条件是暂时的，但攻击者可能通过反复调用受害者来窃取数据。

7、mcp-remote安全漏洞可致远程代码执行

https://jfrog.com/blog/2025-6514-critical-mcp-remote-rce-vulnerability/

安全研究团队发现mcp-remote项目存在高危漏洞CVE-2025-6514，CVSS评分达9.6。该工具常用于使大型语言模型（LLM）客户端与远程MCP服务器通信。漏洞允许攻击者在客户端连接到不受信任的MCP服务器时，触发任意操作系统命令执行，可能导致系统全面入侵。受影响版本为0.0.5至0.1.15，0.1.16版本已修复。攻击场景包括连接到恶意服务器或通过不安全方式连接被中间人攻击劫持。用户应更新至0.1.16版本或仅通过HTTPS连接受信任服务器以缓解风险。

8、日本新日铁公司遭零日攻击致数据泄露

https://securityaffairs.com/179766/data-breach/nippon-steel-solutions-data-breach.html

日本新日铁的子公司新日铁解决方案公司披露了一起数据泄露事件。该公司提供云和网络安全服务，但其网络设备被黑客利用零日漏洞攻击，导致数据泄露。2025年3月7日，公司检测到可疑服务器活动并隔离了受影响系统。调查显示，攻击者通过零日漏洞未经授权访问了公司内部网络，可能泄露了客户、合作伙伴和员工的个人信息，包括姓名、公司名称、职位、电子邮件地址和电话号码等。公司表示，云服务未受影响，且没有证据表明信息已在社交媒体或暗网上泄露。目前，公司已通知受影响各方，并采取措施隔离和重建被攻击设备，加强安全防护。此次事件发生在新日铁收购美国钢铁公司期间。

9、Fortinet发布FortiWeb SQL注入漏洞补丁

https://thehackernews.com/2025/07/fortinet-releases-patch-for-critical.html

Fortinet发布针对FortiWeb中严重SQL注入漏洞（CVE-2025-25257）的修复程序。该漏洞CVSS评分为9.6，攻击者可通过精心设计的HTTP或HTTPS请求，在未授权情况下执行SQL代码或命令。受影响版本包括FortiWeb 7.6.0至7.6.3、7.4.0至7.4.7、7.2.0至7.2.10、7.0.0至7.0.10，用户需分别升级到对应更高版本。问题根源在于“get_fabric_user_by_token”函数，攻击者可利用其控制的输入，直接传递给SQL数据库查询，进而执行恶意操作。目前，新版本函数已用准备好的语句取代旧查询方式以防止注入。在应用补丁前，建议用户禁用HTTP/HTTPS管理界面，以降低风险。

10、GitHub泄露APP_KEY危及600多个Laravel应用

https://thehackernews.com/2025/07/over-600-laravel-apps-exposed-to-remote.html

安全公司GitGuardian与Synacktiv联合披露，2018年至2025年5月间，GitHub公共仓库共暴露逾26万个Laravel APP_KEY，其中400个经确认有效，直接令600余个线上应用可被远程执行任意代码。泄露源六成来自被误上传的.env文件，且伴随数据库、云令牌等敏感信息；约2.8万对“APP_KEY+APP_URL”同时暴露，使攻击者可直接定位并入侵目标。该风险源于Laravel自动反序列化解密数据的机制，配合phpggc等工具即可实现无交互RCE。研究团队提醒，仅删除仓库密钥无济于事，必须立即轮换密钥、更新生产系统并部署持续监控。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。