1、Gemini AI CLI漏洞可被劫持执行恶意代码

https://tracebit.com/blog/code-exec-deception-gemini-ai-cli-hijack

安全研究机构发现了针对Google Gemini CLI的静默攻击漏洞。该漏洞利用不当验证、提示注入和误导性用户体验的组合，导致在检查不受信任的代码时，恶意命令会在用户不知情的情况下静默执行。攻击者可以通过在代码库中嵌入恶意的“上下文文件”（如 GEMINI.md），诱导Gemini CLI执行恶意命令，甚至窃取用户凭据并将其发送到远程服务器。安全机构报告了这一漏洞，Google于7月25日在v0.1.14版本中修复了该问题，并于7月28日正式披露。在漏洞存在期间，攻击者可以利用Gemini CLI的run_shell_command功能，通过两阶段攻击绕过用户许可，执行恶意命令。

2、Toptal GitHub组织遭劫持致多个代码库公开

https://socket.dev/blog/toptal-s-github-organization-hijacked-10-malicious-packages-published

全球人才网络Toptal的GitHub组织被威胁行为者劫持，导致73个代码库被公开，其中至少10个包含恶意代码。这些恶意代码通过npm生命周期钩子注入，主要目的是窃取GitHub身份验证令牌，并尝试对受害者的系统造成严重破坏。受影响的软件包包括多个与Toptal的Picasso设计系统相关的包，累计下载量约为5000次。攻击者通过curl命令将令牌发送到其控制的端点，并尝试删除Unix系统的整个文件统。Toptal在发现入侵后迅速采取了措施，弃用了恶意版本并恢复到稳定版本，从而阻止了恶意代码的进一步传播。目前，具体的攻击向量尚不明确，可能是网络钓鱼、内部威胁或凭证泄露等多种可能性。

3、约会应用Tea再次泄露用户私密信息

https://www.bleepingcomputer.com/news/security/tea-app-leak-worsens-with-second-database-exposing-user-chats/

约会安全应用Tea近期遭遇第二次重大数据泄露事件。超过一百万条用户私信被曝光，内容涉及堕胎、出轨等敏感话题，甚至包含用户电话号码。研究人员发现，黑客可能利用Tea的漏洞窃取这些信息，且此次泄露涉及的数据比首次事件更为近期。Tea声称受影响的是旧数据存储系统，但调查表明，泄露信息涵盖截至上周的记录。此外，研究人员还发现Tea存在向所有用户发送推送通知的漏洞。用户在Tea上的匿名性被轻易打破，私信中提及的真实姓名、电话号码等信息使用户身份极易被识别，给用户带来极大风险。

4、黑客入侵致俄罗斯航空公司大量航班停飞

https://www.theregister.com/2025/07/28/aeroflot_system_compromise/

俄罗斯最大航空公司俄罗斯国际航空公司（Aeroflot）因信息系统遭黑客攻击发生故障，导致近50对往返航班被取消。据《生意人报》报道，白俄罗斯黑客组织“Silent Crow”和“Cyber Partisans BY”声称入侵该公司网络长达一年，摧毁了约7000台物理和虚拟服务器，入侵了关键系统，控制了包括管理层在内的员工个人电脑，并复制了大量数据。该航空公司表示，专家团队正在努力将风险降至最低，尽快恢复正常运营，受影响航班的旅客可在未来10天内申请退款或改签。目前，莫斯科检察部门已对该事件展开调查。

5、法国海军集团数据泄露事件引发关注

https://www.infosecurity-magazine.com/news/naval-group-denies-hack/

法国海军集团（Naval Group）近期遭遇了一起严重的数据泄露事件。7月23日，一名自称“Neferpitou”的黑客在暗网论坛声称入侵了该集团的IT系统，窃取了1TB的机密数据。这些数据包括FREMM护卫舰和FDI护卫舰的战斗管理系统（CMS）的源代码、部署文档、网络数据以及标注为“限制分发”和“法国特别”的技术文件。黑客还公布了13GB的数据样本作为证据，并向海军集团发出72小时的最后通牒，要求其通过加密通讯平台Session建立联系。然而，法国海军集团在7月25日发表声明，称经过内部调查，未发现任何外部入侵的迹象，公司运营也未受影响。该公司还表示，已向法国司法部门报案，并与政府机构合作调查此事。

6、SHUYAL木马盗取19种主流浏览器凭据

https://www.anquanke.com/post/id/310643

在一次深入的技术调查中，Hybrid Analysis揭露了一种强大的新型信息窃取者——SHUYAL，这是一个之前未曾记录过的恶意软件家族，结合了广泛的凭证收集、系统侦察和隐蔽的外泄行为。SHUYAL以其PDB路径中的唯一标识符命名，是一种凭证窃取者，具备间谍软件级别的行为。Hybrid Analysis的研究人员发现该窃取者针对19种浏览器，包括Chrome、Edge和Firefox等主流浏览器，以及Tor和Falkon等隐私浏览器。

7、Post SMTP插件漏洞可致站点被接管，影响超40 万个网站

https://www.anquanke.com/post/id/310544

热门 WordPress 插件 Post SMTP 存在严重漏洞，影响超过 40 万个网站。安全公司 Patchstack 披露，该插件存在访问控制失效漏洞（CVE-2025-24000），攻击者可借此通过 REST API 实现账户接管，危及整个网站安全。目前，漏洞已在 3.3.0 版本中被修复，CVSS 评分为 8.8。

8、钓鱼攻击新变种：“同形异字”绕过防御，AI助推风险升级

https://www.anquanke.com/post/id/310659

在最新的报告中，Palo Alto Networks 的 Unit 42 揭示了一种隐蔽的钓鱼技术，这种技术继续绕过人类感知和自动化防御：同形异字攻击。这些攻击利用拉丁字母与非拉丁字母（如西里尔字母和希腊字母）之间的视觉相似性，制作看似完全合法的邮件，但隐藏着微妙的操控，欺骗眼睛并逃避检测。

9、黑客利用 .hwp 文件传播 RokRAT 恶意软件

https://www.anquanke.com/post/id/310551

网络安全研究人员近期发现，一场精心策划的恶意软件攻击活动正在利用韩国常用的 Hangul Word Processor（.hwp）文档，传播臭名昭著的 RokRAT 恶意程序。

10、用友U8cloud存在任意文件上传漏洞安全风险

https://www.secrss.com/articles/81422

近日，奇安信CERT监测到官方修复用友U8cloud ServiceDispatcherServlet 任意文件上传漏洞(QVD-2025-29445)，该漏洞源于用友U8cloud ServiceDispatcherServlet反序列化补丁修复不完善，攻击者可绕过鉴权并实现任意文件上传获取服务器权限。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。