1、NFCShare恶意软件通过虚假银行更新窃取卡数据

https://www.d3lab.net/nfcshare-evolves-from-a-banking-phishing-apk-to-a-github-hosted-android-nfc-fraud-campaign/

安全研究人员披露，NFCShare Android恶意软件新变种正通过GitHub上托管的虚假银行应用更新传播，并针对欧洲多家银行和金融机构客户开展钓鱼活动。已披露信息显示，攻击始于冒充真实银行的钓鱼网站，受害者输入银行凭证后被诱导更新银行应用，并被重定向至托管恶意APK的GitHub存储库。NFCShare通过伪造验证屏幕诱骗受害者将银行卡靠近手机NFC芯片，再使用Android IsoDep接口和EMV命令读取信息，并以安全验证为幌子窃取卡号、类型、到期日期和4位PIN码。

2、法国Tchap通讯平台遭账户劫持导致数据风险

https://www.numerique.gouv.fr/sinformer/espace-presse/incident-tchap/

法国政府数字事务局通报，黑客利用被盗用户账户访问法国政府加密通讯平台Tchap。Tchap是面向法国公共部门的即时通讯和协作工具，基于Matrix协议构建，月活跃用户已超过30万。已披露信息显示，法国网络安全机构在周日检测到安全事件，发起恶意请求的账户随后被识别并封禁。官方已向法国数据保护机构通报，因为攻击者可能访问某些用户在对话中分享的个人数据。另有黑客声称通过社交工程获得平台访问权限，并声称窃取文档、媒体文件、消息和账户信息；这些单方面说法仍需官方调查确认。

3、SAP修复NetWeaver与Commerce Cloud关键漏洞

https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2026.html

SAP官方发布2026年6月安全补丁包，修复15个产品漏洞，其中包括影响SAP NetWeaver和SAP Commerce Cloud的四个严重漏洞。已披露信息显示，CVE-2026-44748影响SAP NetWeaver AS ABAP和ABAP平台，可能在基于SAML的环境中导致身份验证绕过；CVE-2026-27671为NetWeaver/ABAP平台应用服务器ABAP中的内存损坏漏洞；CVE-2026-22732与Spring Security相关，影响SAP Commerce Cloud和SAP Data Hub；CVE-2026-40128为NetWeaver应用服务器Java Web容器中的目录遍历漏洞。官方还修复了多个高危和中低危问题。

4、Mythos模型安全测试结果显示漏洞分析能力提升

https://www.bleepingcomputer.com/news/security/xbow-tests-anthropics-mythos-preview-for-offensive-security/

安全测试显示Anthropic Mythos Preview模型在源代码安全分析和漏洞线索生成方面表现出能力提升。已披露信息显示，测试覆盖基准测试、工作流程、交互式使用和集成场景，并使用此前已发现漏洞的开源应用程序冻结版本进行评估。测试人员认为，该模型在源代码可用时更擅长发现潜在漏洞，并能以较高技术精度进行代码分析，在原生代码分析和逆向工程等复杂领域展现潜力。测试同时指出，该模型并不能替代现场渗透测试所需的实际控制能力和完整操作技能。

5、C0XMO僵尸网络利用DD-WRT路由器漏洞传播

https://www.fortinet.com/blog/threat-research/inside-cross-platform-propagation-of-new-gafgyt-variant-c0xmo

安全研究人员披露，Gafgyt僵尸网络新变种C0XMO正在攻击DD-WRT路由器固件，并可兼容多种CPU架构设备。已披露信息显示，相关样本覆盖ARM、MIPS、PowerPC、SuperH、x86、x86_64等架构，并包含针对DVR、路由器、视频管理平台和Android设备的漏洞利用程序。C0XMO利用CVE-2021-27137传播，该漏洞为用户输入不足导致的缓冲区溢出，攻击者无需身份验证即可利用并执行任意代码。该僵尸网络支持19种DDoS攻击方式，并会扫描、终止竞争对手僵尸网络客户端和部分工具进程。

6、WhatsApp阻止NSO间谍软件针对用户钓鱼攻击

https://about.fb.com/news/2026/06/fighting-spyware-an-update-from-whatsapp/

WhatsApp在接收用户举报后已调查并阻止与NSO集团相关的社会工程学网络攻击活动。已披露信息显示，攻击者试图诱导目标点击恶意链接，并将用户引导至WhatsApp之外的外部网站，相关方式类似此前与NSO有关的一键式网络钓鱼活动。平台方还发现攻击者在WhatsApp上创建测试账号和群组，并已将其删除。相关声明列出ikhwancast、ghazacast和fr24cast等域名作为检测到的攻击指标。平台方认为该活动违反2025年法院永久禁令，该禁令禁止NSO集团针对WhatsApp或其用户实施间谍软件攻击。

7、Gogs零日漏洞可导致RCE攻击与存储库访问

https://www.rapid7.com/blog/post/ve-authenticated-rce-via-argument-injection-gogs-unfixed/

Gogs修复一个严重零日参数注入漏洞，该漏洞尚未分配CVE编号。已披露信息显示，漏洞影响所有Gogs版本，包括0.14.2和0.15.0+dev，拥有基本账户权限且没有管理员权限的攻击者可利用该问题入侵目标服务器、读取任意存储库，包括私有存储库，并可能窃取凭据、横向移动或更改托管源代码。由于Gogs默认启用开放注册，且默认不限制仓库创建，未经身份验证的攻击者可在默认配置实例上创建账户和仓库，再通过变基合并功能触发利用链。维护方已于6月7日发布0.14.3版本修复。

8、UniFi OS漏洞无需认证可实现获取Root权限

https://bishopfox.com/blog/popping-root-on-unifi-os-server-unauthenticated-rce-chain-detection-analysis

安全研究人员披露，Ubiquiti UniFi OS Server中的三个已修复漏洞可被串联利用，在无需身份验证的情况下以root权限执行远程代码。相关漏洞为CVE-2026-34908、CVE-2026-34909和CVE-2026-34910，影响UniFi OS Server 5.0.6及更早版本，并已于5月修复。已披露信息显示，前两个漏洞可用于绕过身份验证并访问受保护后端服务，第三个命令注入漏洞可在受影响设备上执行命令。研究人员验证的攻击路径不需要凭证、用户交互或事先访问权限，最终可获得目标系统root shell。

9、牛津大学CareerConnect平台遭入侵用户信息泄露

https://www.careers.ox.ac.uk/article/careerconnect-secured-and-safe-to-use-following-data-security-incident

牛津大学披露数据泄露事件，第三方供应商Group GTI通知该校其CareerConnect职业服务平台遭入侵。已披露信息显示，该平台于5月28日被攻击者入侵，攻击者获取了用户名字、姓氏、电子邮件地址以及未使用单点登录用户的加密密码。该平台也被英国其他教育机构用于运营职业中心。牛津大学表示，事件仅影响GTI第三方系统，没有证据显示大学系统遭到危害，也没有证据显示课程信息、上传文件、预约信息或财务信息涉及此次事件。GTI表示此次泄露似乎以收集凭证为目的。

10、Meta账户恢复漏洞导致2万余Instagram账号被盗

https://www.bleepingcomputer.com/news/security/meta-ai-support-data-breach-affects-20-000-instagram-accounts/

Meta披露20225名Instagram用户账户在近期网络攻击事件中被盗，攻击者利用其AI辅助账户恢复系统High Touch Support中的相关漏洞重置密码。已披露信息显示，HTS允许用户请求支持并将密码重置链接发送至邮箱，但另一条代码路径未正确验证请求者提供的邮箱地址是否与目标Instagram账户绑定，导致系统将重置链接发送至未关联邮箱。攻击者收到重置链接后，在账户未启用双因素认证的情况下可登录并劫持账户。Meta表示，事件发现后已禁用HTS AI支持系统及其生成的所有密码重置链接，并要求受影响用户重新认证。

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。