1、伊朗黑客组织入侵韩国大型电子制造商

https://www.security.com/threat-intelligence/iran-seedworm-electronics

研究人员披露，与伊朗有关的黑客组织MuddyWater（又名Seedworm、Static Kitten）近期发起大范围网络间谍活动，目标覆盖多个国家和行业，其中包括一家韩国大型电子制造商、政府机构、中东一座国际机场、亚洲工业企业及教育机构。研究人员称，攻击者于2026年2月20日至27日在该韩国企业网络内活动约一周，疑似以情报搜集为导向，重点关注工业与知识产权窃取、政府间谍活动及获取下游客户或企业网络访问权限。此次行动大量使用DLL侧加载、PowerShell和Node.js加载器，并借助伪造Windows提示、注册表配置单元窃取、Kerberos票据滥用等方式获取凭证，还通过公开文件共享服务sendit.sh实施数据外传，以降低异常流量暴露风险。

2、伪装援助文件的间谍软件行动曝光

https://cyble.com/blog/operation-humanitarianbait-infostealer-campaign/

研究人员披露了一起名为“Operation HumanitarianBait”的网络攻击活动。该行动利用伪造的人道主义援助相关文档作为诱饵，面向俄语用户实施定向攻击。攻击链中，恶意载荷托管在GitHub平台，受害者在接触并打开相关诱饵文件后，可能进一步下载并执行后续程序。最终载荷为基于Python开发的间谍软件，说明攻击者具备利用常见开发语言和公开平台隐藏恶意活动的能力。现有信息表明，这是一场结合社会工程、远程托管载荷与信息窃取能力的攻击行动，重点在于借助援助主题提升诱骗成功率，并针对特定语言群体展开投放。

3、新型TrickMo借助TON实现隐蔽控制

https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app

研究人员发现TrickMo安卓银行木马出现新变种，其一项关键变化是利用TON区块链基础设施进行隐蔽的命令与控制（C2）通信。按照披露信息，这种做法意在提升攻击活动的隐匿性，降低传统网络层面检测与拦截的效果。标题同时提到，该变种还结合SOCKS5能力，将受感染的安卓设备转化为网络代理支点，以便为后续流量转发或间接访问提供条件。现有内容重点说明了其通信与代理机制的变化，表明移动端银行木马正持续演进，并尝试借助去中心化基础设施增强生存与对抗分析能力。

4、RubyGems因恶意包攻击暂停新用户注册

https://thehackernews.com/2026/05/rubygems-suspends-new-signups-after.html

RubyGems因遭遇大规模恶意软件包上传事件，已暂停新用户注册。公开信息显示，此次攻击涉及数百个恶意包，被认为进一步加剧了软件供应链安全风险。RubyGems作为Ruby生态的重要软件包仓库，此类事件可能影响开发者对第三方依赖的获取与信任，也反映出开源包管理平台在账号注册、包审核和恶意内容拦截方面面临持续压力。目前已知信息主要集中在平台采取的应急措施以及攻击规模，原文未披露更详细的技术细节、影响范围或攻击者身份。

5、富士康确认北美工厂遭氮气勒索软件攻击

https://www.bleepingcomputer.com/news/security/electronics-giant-foxconn-confirms-cyberattack-on-north-american-factories/

富士康向媒体证实，其北美部分工厂遭遇网络攻击，事件发生后公司已启动应急响应机制，并采取多项运营措施以保障生产和交付连续性，受影响工厂目前正逐步恢复正常生产。此次攻击被“氮气”勒索软件组织认领，该组织声称窃取了约8TB数据和超过1100万份文件，内容涉及机密指令、项目资料和图纸，并提及苹果、英特尔、谷歌、英伟达和AMD等客户。公开信息显示，Nitrogen最早于2023年出现，先与BlackCat/ALPHV载荷有关，后基于泄露的Conti 2代码发展出自有勒索软件。富士康过去也曾多次遭遇勒索软件事件。

6、西氏医药披露遭遇数据窃取与系统加密攻击

https://www.bleepingcomputer.com/news/security/west-pharmaceutical-says-hackers-stole-data-encrypted-systems/

美国制药制造企业West Pharmaceutical Services披露，其遭遇一起重大网络安全事件，攻击者不仅从公司网络中窃取了部分数据，还加密了若干系统。公司称于2026年5月4日首次发现入侵，并在5月7日确认事件具有重大影响，随后启动事件响应流程，包括在全球范围内主动下线部分系统、通知执法部门，并聘请外部网络取证专家及Palo Alto Networks Unit 42协助调查、遏制与恢复。此次事件已对公司全球业务运营造成干扰。西氏医药表示，支持发货和生产的核心企业系统已恢复，制造业务也已部分重启，但全部系统尚未完全恢复，最终恢复时间和财务影响仍未明确。公司同时称已采取措施降低被窃数据扩散风险，但未说明具体细节。

7、Windows DNS客户端漏洞可导致远程代码执行攻击

https://www.freebuf.com/articles/system/481157.html

微软Windows DNS客户端中新披露的一个漏洞可能让攻击者悄无声息地在企业网络中执行恶意代码，暴露出巨大的攻击面。该漏洞被正式编号为CVE-2026-41096，CVSS严重性评分高达9.8分（满分10分）。

8、MongoDB 高危漏洞可导致攻击者执行任意代码

https://www.freebuf.com/articles/database/481122.html

最新披露的 MongoDB 高危漏洞（CVE-2026-8053）可能使威胁攻击者执行任意代码，进而完全控制受影响服务器，导致数百万条记录面临泄露风险。该漏洞直接影响 MongoDB Server 的部署环境。

9、Veeam推出全新备份管理与网络安全功能

https://siliconangle.com/2026/05/12/veeam-introduces-new-backup-management-cybersecurity-features/

Veeam发布新功能强化数据备份与防护，旗舰产品Veeam Data Platform v13.1新增量子级加密和恶意软件扫描，DataAI Command Platform实现智能数据资产管理，提升企业韧性运营能力。

10、NGINX堆缓冲区溢出漏洞可导致远程代码执行

https://www.secrss.com/articles/90300

未经身份认证的攻击者可通过发送构造的 HTTP 请求触发漏洞，造成 Worker 进程崩溃，在特定环境下还可实现远程代码执行。官方修复NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞(CVE-2026-42945)，该漏洞源于处理特定 rewrite 指令时，由于内部标志位管理错误，导致堆缓冲区分配长度与实际写入长度不一致，从而引发堆缓冲区溢出。未经身份认证的攻击者可通过发送构造的 HTTP 请求触发漏洞，造成 Worker 进程崩溃，在特定环境下还可实现远程代码执行。

声明

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。