1、研究人员发现新型安卓恶意软件SikkahBot

https://cyble.com/blog/sikkahbot-malware-defrauds-students-in-bangladesh/

研究人员发现了一个名为“SikkahBot”的安卓恶意软件，该恶意软件自2024年7月起活跃，伪装成孟加拉国教育委员会的应用程序，专门针对孟加拉国的学生进行攻击。该恶意软件会窃取敏感的个人详细信息和支付信息，如钱包号码、PIN、支付类型等。该应用软件在安装时会要求获取高风险权限，如无障碍服务、短信访问、通话管理和浮窗权限，这些权限使其能够对设备进行深度控制。该恶意软件还会拦截银行相关短信，滥用无障碍服务在银行应用软件中自动填充凭据，并执行自动化USSD交易。

2、Next.js框架中存在一个安全漏洞

https://cybersecuritynews.com/critical-next-js-framework-vulnerability/

Next.js框架中存在一个安全漏洞（CVE-2025-29927），该漏洞允许恶意攻击者完全绕过授权机制。此漏洞源于Next.js中间件执行过程中对x-middleware-subrequest标头处理不当。安全研究人员已证明，攻击者可以操纵HTTP标头来规避身份验证和授权控制，从而在没有正确凭据的情况下获得对受限区域的访问权限。该漏洞影响了多个版本的流行React网页框架，具体利用技术因所用版本不同而异。

3、Zscaler称其Salesforce中的数据遭到泄露

https://www.bleepingcomputer.com/news/security/zscaler-data-breach-exposes-customer-info-after-salesloft-drift-compromise/

在安全通报中，Zscaler表示其Salesforce实例受到了此前供应链攻击的影响，导致客户信息泄露。在进行详细审查后，Zscaler已确定攻击者获得了对Zscaler某些Salesforce信息的有限访问权限，泄露的信息包括姓名、商务电子邮件地址、职位、电话号码、地区/位置详细信息、Zscaler产品许可和商业信息、部分支持案例的内容。该公司强调，此次数据泄露仅影响其Salesforce实例，不涉及任何Zscaler的产品、服务或基础设施。

4、农夫保险交易所披露一起数据泄露事件

https://cybersecuritynews.com/farmers-insurance-cyber-attack/

Farmers Insurance Exchange及其子公司近期披露了一起重大的安全事件，由于第三方供应商的数据库遭到未经授权的访问，约110万名客户的个人信息遭到泄露。该事件发生于2025年5月29日，是今年保险行业最大规模的数据泄露事件之一，影响了包含姓名、地址、出生日期、驾照号码和部分社会安全号码的客户记录。Farmers的研究人员指出，此次攻击专门针对包含保险保单持有人信息的客户数据库，这表明攻击者有意锁定高价值的个人数据。

5、新型攻击滥用Windows搜索功能分发窃密木马

https://www.anquanke.com/post/id/311761

Huntress研究人员经过一年追踪发现，ClickFix社交工程攻击（通过伪装验证码诱使用户执行恶意代码）正出现危险演变。最新分析显示，攻击者开始将ClickFix技术与Windows搜索协议滥用和PDF诱饵伪装相结合，最终投放自2022年活跃的商业化信息窃取软件MetaStealer。

6、HashiCorp Vault拒绝服务漏洞可致服务器崩溃

https://www.anquanke.com/post/id/311758

HashiCorp 发布安全公告，披露其广泛使用的机密管理平台 Vault 存在一项新漏洞。该漏洞编号为 CVE-2025-6203，CVSS 评分为 7.5（高危），攻击者可通过提交特制的 JSON 负载触发拒绝服务（DoS）攻击。

7、新型恶意软件伪装AI助手劫持用户电脑

https://www.anquanke.com/post/id/311788

安全研究人员Ryingo近日发布针对新型恶意软件”AI Waifu RAT“的详细分析，该后门程序通过伪装成创新技术渗透大型语言模型（LLM）角色扮演社区。这份被称作”利用社区对’元交互’和新颖AI能力兴趣的社会工程学大师课”的报告，揭示了威胁分子如何利用用户好奇心和信任分发恶意软件。

8、WhatsApp漏洞与苹果零日漏洞遭组合利用

https://www.anquanke.com/post/id/311781

WhatsApp 已修复一个关键的零点击漏洞，该漏洞曾在针对苹果用户的高级攻击行动中被利用。这一漏洞编号为 CVE-2025-55177，据称与苹果近期披露的零日漏洞（CVE-2025-43300）被联合使用，用于在完全无需用户交互的情况下投递间谍软件。

9、冒牌PDF编辑器分发TamperedChef信息窃取木马

https://www.anquanke.com/post/id/311798

近期，研究人员发现网络威胁团伙利用 Google 广告 推广多个伪造网站，以“免费 PDF 编辑软件”为诱饵，向用户投递名为 TamperedChef 的信息窃取型恶意软件。此次行动规模庞大，至少涉及 50 个域名，这些站点托管着伪装应用，并使用来自 至少四家公司 的欺诈性数字签名证书。研究人员指出，攻击者手法精心策划，甚至在广告投放初期并未立刻激活恶意功能，而是等广告覆盖一定用户量后再远程下发恶意更新，从而提高感染率。

10、Cloudflare成功防御史上最大DDoS攻击11.5Tbps流量冲击

https://www.freebuf.com/news/446935.html

今年5月中旬，Cloudflare宣布成功抵御了破纪录的7.3Tbps分布式拒绝服务（DDoS）攻击。时隔数月，该公司再次披露里程碑事件——成功拦截峰值达11.5Tbps、每秒51亿数据包（Bpps）的超大规模攻击，创下互联网攻防战史上最高记录。

声明

以上内容原文自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。