1、APT36组织利用Vibeware生成恶意软件

https://www.bitdefender.com/en-us/blog/businessinsights/apt36-nightmare-vibeware

巴基斯坦的攻击组织APT36（又名Transparent Tribe）已从使用现成恶意软件转向“Vibeware”，这是一种由AI驱动的开发模式，旨在产出大量植入程序但实际质量一般。该组织利用Nim、Zig 和 Crystal等小众编程语言，试图规避标准检测引擎的扫描，同时利用Slack、Discord、Supabase和Google Sheets等受信任的云服务进行指令与控制。

2、研究人员发现针对LuaJIT环境的新型GitHub恶意活动

https://www.derp.ca/research/fakegit-luajit-github-campaign/

研究人员近期发现了一项针对GitHub用户的恶意活动，该活动利用伪造的仓库和脚本来传播针对LuaJIT环境的恶意载荷。攻击者创建了大量看似合法的公共仓库，这些仓库宣称提供流行的自动化工具或作弊脚本，实际上却包含高度混淆的恶意代码。一旦用户克隆并运行这些仓库中的脚本，恶意载荷就会在本地Lua环境中执行。该载荷能够绕过常规的安全监测，直接访问系统底层的敏感资源。初步调查显示，该活动的背后可能是一个专注于窃取开发者凭据和加密货币钱包信息的网络犯罪团伙。目前，GitHub安全团队正在着手移除受影响的仓库，建议用户在运行来源不明的Lua脚本前进行严格的代码审计。

3、研究人员发现新型Linux恶意软件ClipXDaemon

https://cyble.com/blog/clipxdaemon-autonomous-x11-clipboard-hijacker/

研究人员发现了一种新型Linux恶意软件，将其命名为ClipXDaemon，这是一款针对Linux X11环境的加密货币剪贴板劫持工具。ClipXDaemon与传统的Linux恶意软件有着本质区别。它不包含指令与控制逻辑，不执行心跳检测，也无需远程指令。它劫持X11会话中复制的加密货币钱包地址，并实时替换为攻击者控制的地址来直接变现。

4、攻击者正发起持续性的Signal和WhatsApp钓鱼活动

https://www.bleepingcomputer.com/news/security/dutch-govt-warns-of-signal-whatsapp-account-hijacking-attacks/

据荷兰国防情报安全局（MIVD）与荷兰总情报安全局（AIVD）证实，俄罗斯政府支持的黑客组织正针对政府官员、军事人员和记者发起持续性的Signal和WhatsApp钓鱼活动，旨在获取敏感通信内容。荷兰政府雇员也已确认成为攻击目标。荷兰情报机构表示，该行动依赖于钓鱼和社会工程技术，通过滥用合法的身份验证功能来夺取账号控制权，并秘密监听新消息。Signal官方已在社交平台BlueSky上发文确认了这些针对性攻击，表示已获知近期有针对性的钓鱼攻击导致部分Signal用户（包括政府官员和记者）账号被盗。Signal的加密技术和基础设施并未被破解。这些攻击是通过复杂的钓鱼手段执行的，旨在诱骗用户分享SMS验证码或Signal PIN码。

5、爱立信美国子公司证实一起数据泄露事件

https://www.bleepingcomputer.com/news/security/ericsson-us-discloses-data-breach-after-service-provider-hack/

爱立信的美国子公司Ericsson Inc.表示，在一家服务提供商遭到攻击后，数量不明的员工和客户数据被窃。一家为其存储员工和客户个人数据的服务提供商于2025年4月28日发现了入侵行为。调查于上个月完成，结果显示数量不明的个人数据在此次事件中泄露。不过，爱立信指出，受影响的提供商尚未发现数据遭到滥用。目前尚无网络犯罪组织声称对此负责。

6、攻击者声称泄露商业杂志SUCCESS订阅者数据

https://cybernews.com/security/success-magazine-data-breach/

商业杂志《SUCCESS》最近可能成为了数据泄露的最新受害者，其14.1万名订阅者的数据记录正在黑客论坛中流传。攻击者在某黑客论坛中上传了据称是该平台的数据库，并提供公开下载。根据帖文内容，这些被盗数据包括详尽的客户画像和商店订单详情。而就在几天前，该公司曾发布消息称，其网站和电子邮件系统遭到了未经授权的第三方入侵。目前尚不清楚这两起事件是否具有关联。

7、ScamAgent可绕过防护完全自主实施诈骗通话

https://www.freebuf.com/articles/472920.html

美国罗格斯大学研究员Sanket Badhe开发的ScamAgent是一个自主多轮对话AI框架，展示了如何将大语言模型（LLM）武器化以实现全自动诈骗通话。该系统通过整合目标驱动规划、上下文记忆和实时文本转语音（TTS）合成技术，成功绕过现有AI安全防护机制，模拟出高度逼真的社会工程攻击。

8、CVE项目资金危机解除，全球漏洞生态重获稳定

https://www.freebuf.com/articles/network/472877.html

网络安全和基础设施安全局（CISA）与MITRE公司重新谈判了支撑已有26年历史的通用漏洞披露计划（CVE）的合同，消除了2025年引发安全界恐慌的合同到期危机。据消息人士透露，该项目已从CISA预算中的可支配项目转变为受保护的固定项目，这种结构性变化有望避免去年那种威胁系统存续的戏剧性危机。

9、AVideo平台存在高危零点击命令注入漏洞 可被用于劫持直播流

https://www.anquanke.com/post/id/315062

由安全研究人员发现，AVideo 这一主流开源视频点播与直播平台中存在一处高危漏洞。该漏洞编号为 CVE-2026-29058，属于零点击类型，风险等级为最高严重级别，攻击者无需身份验证即可在目标服务器上执行任意操作系统命令。 该漏洞由安全研究员 Arkmarta 发现，仅影响 AVideo 6.0 版本，目前已在 7.0 及更高版本中完成官方修复。此漏洞归类于 CWE-78（操作系统命令中特殊元素处理不当），属于无需权限、无需用户交互的远程网络攻击。一旦被成功利用，攻击者可完全控制服务器、窃取敏感配置密钥，并彻底劫持直播视频流。

10、恶意浏览器插件针对imToken用户窃取私钥

https://www.anquanke.com/post/id/315065

Socket 威胁研究团队发现一款极具欺骗性的谷歌浏览器扩展程序，专门用于窃取加密货币用户的私钥与助记词。 这款恶意插件名为 lmΤoken Chromophore（扩展 ID：bbhaganppipihlhjgaaeeeefbaoihcgi），对外伪装成面向开发者与数字艺术家的十六进制颜色可视化工具。但其真实目的，是冒充目前广泛使用的非托管钱包品牌 imToken，从毫无防备的受害者手中窃取敏感的钱包恢复密钥。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。