1、TCLBanker木马借WhatsApp和Outlook自传播

https://www.elastic.co/security-labs/tclbanker-brazilian-banking-trojan

研究人员披露一种新型银行木马TCLBanker。该恶意程序通过伪装成Logitech AI Prompt Builder的MSI安装包入侵系统，并利用DLL侧载在合法进程中运行，以规避安全产品检测。TCLBanker目前主要针对巴西用户，会检查时区、键盘布局和区域设置，瞄准59个银行、金融科技和加密货币平台。其具备反分析和反调试能力，可识别多种安全研究工具，并在受害者访问目标网站时通过WebSocket与C2通信，配合覆盖层实施虚假登录、PIN输入、客服电话等待和假更新等欺骗界面。更值得关注的是，该木马还包含蠕虫模块，可劫持WhatsApp Web会话向联系人发送垃圾信息，并通过Outlook自动收集联系人和发件人地址发送钓鱼邮件，实现自主传播。

2、Google修复GeminiCLI高危远程执行漏洞

https://www.pillar.security/blog/my-agentic-trust-issues-from-prompt-injection-to-supply-chain-compromise-on-gemini-cli

Google已修复Gemini CLI中的一处CVSS 10级高危漏洞。根据报道，攻击者可结合提示注入与权限提升手法，借助GitHub Issue相关交互链路触发远程代码执行，进而影响开发流程与依赖供应链安全。该问题的风险在于，一旦利用成功，攻击者可能从命令行工具入口扩大控制范围，最终造成完整的供应链妥协。报道强调，此次漏洞与GitHub Issue场景有关，反映出AI辅助开发工具在处理外部输入时可能带来的安全边界问题。Google目前已完成修复，用户应尽快更新相关组件，并审查自动化工作流及权限配置，以降低被利用风险。

3、英伟达确认亚美尼亚GeForceNOW数据泄露

https://www.bleepingcomputer.com/news/security/nvidia-confirms-geforce-now-data-breach-affecting-armenian-users/

英伟达向媒体证实，GeForce NOW发生用户信息泄露事件，但影响范围仅限于亚美尼亚，由当地联盟合作伙伴运营的基础设施遭入侵所致，英伟达自有网络和其直接运营服务未受影响。英伟达表示，受影响用户将由当地运营方GFN.am通知。GFN.am披露，该网络安全事件发生于3月20日至26日，泄露信息包括部分用户资料，但未涉及账户密码，且3月9日之后注册的用户不受影响。此前有名为ShinyHunters的威胁行为者在黑客论坛声称窃取数百万条记录并出售数据库，但该账号被怀疑为冒名者，相关帖子目前也已被删除。

4、JDownloader官网遭入侵投放恶意安装包

https://jdownloader.org/incident_8.5.2026.html?v=20260508277000

研究人员发现JDownloader官方网站于2026年5月6日至7日期间遭攻击者入侵，下载链接被篡改，导致Windows“替代安装器”和Linux shell安装器指向恶意载荷，形成供应链攻击。开发团队表示，攻击者利用一个未修补漏洞，在未获认证的情况下修改了网站CMS中的访问控制列表和页面内容，但未取得底层服务器或操作系统权限。研究人员分析发现，Windows恶意程序会投放经过混淆的Python远控木马，可从C2服务器接收并执行代码；Linux安装脚本则被植入恶意代码，下载伪装文件并释放ELF程序，建立持久化并以系统进程名伪装运行。官方建议用户核验安装包数字签名是否为“AppWork GmbH”；如在受影响时间段下载并运行相关安装器，应重装系统并重置密码。

5、恶意HuggingFace仓库冒充OpenAI投递窃密木马

http://www.hiddenlayer.com/insight/malware-found-in-trending-hugging-face-repository-open-oss-privacy-filter

研究人员发现一个名为Open-OSS/privacy-filter的恶意Hugging Face仓库冒充OpenAI“Privacy Filter”项目，曾短暂登上平台热门榜首，并在下架前累计约24.4万次下载。该仓库复制了正版项目说明，并通过loader.py伪装为正常AI代码，实则在Windows系统上关闭SSL验证、下载并执行包含PowerShell命令的载荷，进一步获取批处理文件、提升权限、将恶意程序加入Microsoft Defender排除项，最终投放基于Rust的信息窃取程序。该恶意软件会窃取敏感数据并回传至攻击者控制服务器，同时具备虚拟机、沙箱、调试器检测等反分析能力。研究人员还发现其基础设施与其他恶意仓库及一次npm抢注投毒活动存在重叠。

6、新型Linux PamDOORa后门利用PAM模块窃取SSH凭证

https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web

网络安全研究人员披露了一个名为PamDOORa的新型Linux 后门的详细信息，该后门由一个名为“darkworm”的威胁行为者在Rehub俄罗斯网络犯罪论坛上以1600美元的价格出售。该后门程序被设计成一个基于可插拔认证模块（PAM）的后渗透工具包，它通过一个特殊的密码和特定的TCP端口组合来实现持久的SSH访问。它还能窃取所有通过受感染系统进行身份验证的合法用户的凭据。这款名为PamDOORa的工具是一种基于PAM的新型后门，旨在作为渗透后后门，通过OpenSSH对服务器进行身份验证。据称，它将在Linux系统 (x86_64) 上保持持久存在。

7、IvantiEPMM高危漏洞正遭在野利用

https://hub.ivanti.com/s/article/May-2026-Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-Multiple-CVEs?language=en_US

Ivanti Endpoint Manager Mobile（EPMM）中的远程代码执行漏洞CVE-2026-6973已在有限范围内遭到攻击者利用，且可带来管理员级访问权限，风险较高。美国网络安全和基础设施安全局（CISA）已要求相关机构在2026年5月10日前完成修复，进一步提升了该问题的处置紧迫性。现有信息显示，此次利用活动规模尚有限，但由于漏洞影响核心管理系统，一旦被成功利用，可能导致设备管理环境被接管。对于正在使用Ivanti EPMM的组织而言，尽快评估影响范围、部署厂商修复并开展排查十分必要，以降低潜在入侵风险。

8、伪造macOS故障排查页面诱导窃取iCloud数据

https://hackread.com/fake-macos-troubleshooting-sites-steal-icloud-clickfix/

研究人员发现一种新的ClickFix攻击正针对macOS用户展开。攻击者在Medium和Craft等平台发布伪造的故障排查指南，利用用户寻求系统问题解决方案的心理，诱导其在终端中执行恶意命令。相关命令会部署AMOS和SHub Stealer等信息窃取恶意程序，从而收集受害者设备上的敏感数据。根据标题信息，此次活动还涉及窃取iCloud相关数据，说明攻击目标可能包括账号凭证、会话信息或云端同步内容。该手法结合了社工诱导与终端执行，绕过传统下载告警，对macOS用户构成现实威胁。

9、cPanel与WHM修复三个高危安全漏洞

https://thehackernews.com/2026/05/cpanel-whm-patch-3-new-vulnerabilities.html

The cPanel已发布安全更新，修复cPanel与WHM中的三个新漏洞。其中两项漏洞的CVSS评分为8.8，属于高危级别，可能带来代码执行和权限提升风险。此次补丁旨在降低相关系统被攻击者利用的可能性，减少对服务器管理环境和托管服务的安全威胁。由于这些漏洞影响核心管理组件，使用cPanel和WHM的运维人员与服务提供商应尽快完成更新与补丁部署，并结合现有安全策略开展检查，以降低潜在入侵和系统被控风险。

10、知名打车应用Yango因跨境传输数据违规被罚8亿元

https://www.secrss.com/articles/90144

欧洲数据保护机构已对打车应用Yango的运营公司MLU B.V.处以1亿欧元（约合人民币8.01亿元）罚款。此前调查发现，该公司在未采取欧盟法律规定保护措施的情况下，将出租车用户的个人数据传输至俄罗斯。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。