1、Gamaredon组织利用WinRAR漏洞针对乌克兰发起攻击

https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/

安全研究人员披露，俄罗斯黑客组织Gamaredon持续利用WinRAR路径遍历漏洞CVE-2025-8088传播多种恶意软件，用于窃取和传播数据。已披露信息显示，该感染链于2026年1月被发现，攻击首先启动名为GammaPhish的HTML应用程序有效载荷，随后获取名为GammaLoad的中间VBScript下载器。相关载荷可识别主机系统、更新注册表中的网络配置，并从命令与控制服务器获取和执行任意VBScript载荷。报告还披露了GammaWorm蠕虫和GammaSteel模块化信息窃取程序，前者通过计划任务建立持久性，后者会捕获特定扩展名文件，并将其泄露至云存储桶或攻击者控制的服务器。

2、恶意软件活动将载荷隐藏在Steam用户页面评论中

https://www.godaddy.com/resources/news/malware-targeting-wordpress-abuses-steam-community-profiles

安全研究人员披露，近2000个WordPress网站感染了恶意软件，该恶意软件利用Steam社区个人资料评论隐藏命令与控制数据。已披露信息显示，攻击者使用不可见Unicode字符对有效载荷进行编码，并构建指向恶意脚本的URL。该活动自2025年7月首次被发现以来，已在约1980个WordPress网站上出现。目前尚不清楚黑客组织如何入侵这些网站，研究人员评估初始感染途径可能包括管理员登录信息被窃、FTP或SFTP凭据泄露、存在漏洞的主题或插件，以及供应链遭到破坏。攻击最后阶段会植入后门，并通过包含特定身份验证cookie的POST请求接收代码。

3、基于AI构建的勒索软件工具包可规避EDR端点防御

https://www.sophos.com/en-us/blog/pointing-a-cursor-at-evading-detection

安全研究人员披露，黑客组织正在使用人工智能构建的勒索软件攻击工具包，该工具包可自动发现Active Directory，并帮助规避端点检测与响应解决方案。已披露信息显示，多个AI代理在工具和有效载荷开发的不同阶段提供协助，包括初始编码、分析、版本控制、安全研究帖子检查和绕过技术整理。部分恶意软件曾在虚拟环境中针对多种EDR工具进行测试。研究人员指出，虽然研发过程使用了AI技术，但整体工作流仍由人驱动。受感染主机上的多个脚本使用俄语编写，并由AI工具生成。报告未发现AI被嵌入已部署恶意软件或在受害者环境中独立运行的证据。

4、CISA将WebLogic严重漏洞加入KEV已知被利用目录

https://www.cisa.gov/news-events/alerts/2026/06/01/cisa-adds-one-known-exploited-vulnerability-catalog

Oracle WebLogic Server中的严重漏洞CVE-2024-21182已被CISA加入已知被利用漏洞目录。该漏洞两年前已修复，但目前被积极用于攻击。已披露信息显示，Oracle WebLogic Server是企业级Java应用服务器，受影响版本包括12.2.1.4.0和14.1.1.0.0。攻击者无需任何权限，即可通过T3、IIOP网络访问远程利用该漏洞，对目标系统发起低复杂度攻击。成功利用可能导致未经授权访问关键数据，或完全访问可通过Oracle WebLogic Server访问的数据。互联网测绘数据显示，当前仍有超过1500台相关服务器暴露在网络上并可能受到影响。

5、Kirki插件严重漏洞被用于劫持WordPress管理员账户

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/kirki/kirki-600-606-unauthenticated-privilege-escalation-via-handle-forgot-password

安全研究人员披露，黑客组织正在利用WordPress Kirki插件中的严重权限提升漏洞CVE-2026-8206接管用户账户，包括管理员账户。已披露信息显示，该插件是一款可视化建站工具和主题定制器，已在超过50万个网站上使用。该问题出现在6.0.0版本中，影响6.0.6及更早版本。漏洞源于用于密码重置的自定义REST API端点，插件在密码重置请求期间接受任意电子邮件地址。攻击者可为网站上任意注册用户生成有效密码重置链接，并将其发送到攻击者控制的邮箱。研究人员称，过去24小时内已阻止222次相关攻击尝试。

6、针对Codex开发者的供应链攻击活动窃取认证令牌

https://www.aikido.dev/blog/codex-remote-ui-steals-ai-tokens

安全研究人员披露，一项新的恶意供应链活动通过看似合法的远程Web UI工具，针对使用OpenAI Codex的开发者。已披露信息显示，名为codexui-android的工具在代码托管平台和npm上作为OpenAI Codex远程Web用户界面推广，每周下载量超过29000次。该活动并非传统的域名抢注或临时软件包欺骗，而是将恶意代码嵌入一个正在积极开发的功能性npm软件包中。相关代码会提取本地Codex认证文件内容，并发送到伪装成合法监控服务的远程服务器。被捕获数据包括访问令牌、刷新令牌、身份令牌和账户ID。

7、新一代 Claude Oceanus-v1-p开放红队测试但遭提前泄露

https://www.freebuf.com/articles/ai-security/484581.html

一款新一代 Anthropic 模型近日出现在受限测试渠道中，但正式评估尚未开始，该模型的早期分发渠道就已遭到破坏。2026年6月3日，研究人员群体中开始流传关于claude-oceanus-v1-p的讨论，此前该模型标识符出现在Anthropic的Claude控制台中，并通过未经授权的API代理服务流出。这一发现立即引发猜测，认为Anthropic正在推进Claude Mythos系列继任者的更广泛发布，红队评估人员报告称当天就获得了该新模型的访问权限。

8、黑客持续窃取全球证券交易所高管 Outlook 邮箱数据长达五个月

https://www.freebuf.com/articles/database/484519.html

某全球主要证券交易所的一名高管 Outlook 邮箱遭到不明攻击者入侵，其收件箱数据被分批次窃取，并通过 Dropbox 和 OneDrive 传输，整个过程持续至少五个月。攻击者刻意将数据流量伪装成正常的云服务活动，以规避检测。赛门铁克与 Carbon Black 威胁狩猎团队本周披露了此次攻击行动。种种迹象表明，这是一次以间谍活动为目的的攻击，而非单纯的经济利益窃取。赛门铁克分析称，攻击指令显示其目的是情报收集，而非牟利。

9、自主AI工具发现Redis存在两年的远程代码执行漏洞

https://www.freebuf.com/articles/ai-security/484433.html

Redis已修复其阻塞客户端代码中的"释放后使用"漏洞，该漏洞允许经过身份验证的用户在数据库主机上执行任意操作系统命令。这个漏洞是由一款专为大型代码库寻找漏洞而构建的自主AI工具发现的。该漏洞编号为CVE-2026-23479，最初出现在Redis 7.2.0版本中，在5月5日修复前一直存在于所有稳定分支中，未被发现长达两年多。NVD根据CVSS 3.1标准将其评为8.8分；Redis则根据CVSS 4.0标准评为7.7分。漏洞由Xint Code团队报告，完整的技术分析报告现已公开。

10、VSCode的webview存在严重漏洞可窃取 GitHub OAuth 令牌

https://cybersecuritynews.com/1-click-github-token-vulnerability/

VSCode的webview存在严重漏洞，攻击者通过恶意链接可窃取GitHub OAuth令牌，访问用户所有私有代码库。漏洞利用键盘事件转发机制绕过安全边界，无需交互即可完成攻击。建议清除浏览器数据、避免点击未知链接，等待官方补丁。

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。