1、OXLOADER加载器通过恶意谷歌广告传播窃密软件

https://www.elastic.co/security-labs/oxloader-malware-loader-infostealer

安全研究人员披露，代号REF8372的攻击活动通过此前未公开的OXLOADER加载器传播CastleStealer信息窃取恶意软件。已披露信息显示，攻击者利用恶意Google广告作为入口，诱导搜索Node.js LTS版本的用户访问仿冒网站，并从Storj去中心化云存储平台获取批处理脚本。脚本运行后会显示伪装安装界面，同时通过PowerShell下载下一阶段OXLOADER载荷，并触发Windows用户账户控制提示。随后攻击链利用DLL侧加载启动恶意DLL，解密并执行CastleStealer。OXLOADER使用控制流扁平化、混合布尔运算、自修改解密存根和Windows .reloc节放置Shellcode等技术规避检测，并设置规则阻止感染独联体地区计算机。

2、Mastra供应链攻击活动与朝鲜BlueNoroff组织有关

https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/

安全研究人员披露，导致140多个Mastra相关npm包受损的供应链攻击归因于朝鲜相关组织Sapphire Sleet，该组织也被称为BlueNoroff。已披露信息显示，攻击者入侵npm维护者账户ehindero，该账户拥有Mastra包环境发布权限，随后在@mastra作用域内发布超过140个软件包的恶意更新，并注入名为easy-day-js的恶意依赖项。该依赖项伪装成dayjs库的拼写相近包，安装后会触发脚本，关闭TLS证书验证，连接攻击者控制的C2基础设施，下载第二阶段载荷并以隐藏进程执行。第二阶段载荷为跨平台信息窃取程序，可收集主机信息、浏览器历史、应用和进程信息，并检查166个加密货币钱包浏览器扩展。

3、DragonForce勒索软件借微软Teams中继隐藏C2流量

https://www.security.com/threat-intelligence/dragonforce-msteams-backdoor

安全研究人员披露，DragonForce勒索软件在攻击一家美国大型服务公司时，使用名为Backdoor.Turn的自定义后门，将命令与控制流量隐藏在Microsoft Teams使用的TURN中继基础设施中。DragonForce至少自2023年以来活跃，并被描述为采用卡特尔式组织结构。已披露信息显示，Backdoor.Turn是一款基于Go语言的远程访问木马，可获取匿名Teams访问者令牌，在连接建立过程中使用合法Microsoft TURN中继服务器，再连接攻击者控制的C2服务器。防御侧看到的流量会与Microsoft Teams基础设施相关，从而使恶意通信混入受信任网络流量。该后门还具备命令执行、进程创建、网络扫描、TLS证书捕获、LDAP/Active Directory搜索、网站标题收集和浏览器凭据窃取等能力。

4、苹果usbliter8安全漏洞可破坏A12和A13启动链

https://ps.tc/pages/blog-usbliter8.html

安全研究人员公开名为usbliter8的漏洞利用程序，可在Apple A12和A13芯片SecureROM中执行任意代码。已披露信息显示，SecureROM代码在制造过程中烧录进芯片，无法通过软件更新修复。该漏洞并非远程攻击，需要物理接触目标设备，将设备置于DFU模式，并通过USB连接到专用RP2350微控制器板。公开概念验证支持A12、A13、S4和S5 SoC，涉及iPhone XS系列、iPhone 11系列、第二代iPhone SE、部分iPad、Apple Watch Series 4/5、第一代Apple Watch SE和HomePod mini等设备。问题源于Synopsys DWC2 USB控制器硬件缺陷，以及受影响设备中USB DART配置使溢出的DMA指针可访问并覆盖SRAM。

5、开源安全平台Wazuh满分风险漏洞验证代码已公开

https://securityonline.info/wazuh-cvss-10-vulnerability/

开源安全平台Wazuh被披露存在CVSS 10级严重漏洞，完整技术细节和概念验证代码已公开。已披露信息显示，该漏洞影响wazuh-manager 5.0.0-beta1及更高版本，4.x分支不受影响。问题存在于Wazuh 5.0库存管道，该管道将代理提供的flatbuffer字段DataValue.index直接转发到OpenSearch批量请求体中，未进行必要转义。经过认证的终端可借此向后端数据库查询中插入未经授权的OpenSearch批量操作。由于默认安装中相关请求使用映射到管理员配置文件的凭据转发，攻击者可获得高权限数据库操作能力，包括删除索引文档、篡改警报、清理痕迹或向仪表板对象注入持久性载荷。

6、SimpleHelp软件漏洞可创建特权远程支持账户

https://horizon3.ai/attack-research/disclosures/cve-2026-48558-simplehelp-authentication-bypass-iocs/

SimpleHelp远程管理软件被披露存在CVE-2026-48558漏洞，未经身份验证的攻击者可利用OpenID Connect身份验证流程在服务器上创建特权技术人员账户。已披露信息显示，该漏洞影响SimpleHelp 5.5.15及更早版本，以及6.0预发布版本，严重级别为严重。问题源于软件对OIDC身份提供商返回身份断言的验证方式。启用OIDC身份验证后，攻击者可创建新的技术员用户并登录，而无需经过多因素身份验证流程。默认情况下，该技术员账户可执行远程连接受管端点、执行脚本等特权管理活动。该漏洞影响启用OIDC身份验证、配置技术人员组并允许组身份验证登录的服务器。

7、苏州银行因网络安全、数据安全等问题被罚

https://www.secrss.com/articles/91556

6月18日，中国人民银行江苏省分行发布的行政处罚信息显示，苏州银行因“违反账户管理规定；违反收单管理规定；违反网络安全管理规定；违反数据安全管理规定；违反人民币流通管理规定；违反反假货币业务管理规定；占压财政存款或者资金；违反信用信息采集、提供、查询及相关管理规定；未按照规定开展客户尽职调查；未按照规定保存客户身份资料和交易记录；未按照规定报告可疑交易”等11项违法行为，被警告、通报批评，被没收违法所得399480.86元，并被罚款721.02万元。

8、特朗普行政令启动后量子密码强制迁移

https://www.secrss.com/articles/91549

美国总统特朗普6月22日签署题为“保护国家免遭高级密码攻击”的第14409 号行政命令，从政策引导、机制建设、路径规划、责任矩阵和采购保障等五个维度做出全面战略部署，责成联邦政府及承包商加快后量子密码迁移，以提升美国的网络安全防御能力。

9、战胜Mythos 5，OpenAI安全专用GPT-5.5-Cyber发布

https://www.secrss.com/articles/91564

OpenAI 宣布扩展 Daybreak 安全计划，推出更新版 GPT-5.5-Cyber、Codex Security 插件、Daybreak Cyber Partner Program，以及面向开源生态的 Patch the Planet 计划等。其中最受关注的，是 GPT-5.5-Cyber 完整版的发布。OpenAI 称，更新后的 GPT-5.5-Cyber 在 CyberGym 上取得 85.6% 的成绩，高于 GPT-5.5 的 81.8%。这一成绩也超过了 Anthropic Mythos 5 的 83.8%。

10、高危FFmpeg漏洞可使攻击者将媒体文件变成攻击工具

https://cybersecuritynews.com/ffmpeg-vulnerability-weaponize-media-files/

FFmpeg的MagicYUV解码器存在高危漏洞（CVE-2026-8461），攻击者可通过恶意媒体文件实现远程代码执行，影响广泛应用程序。漏洞源于堆越界写入，CVSS评分8.8。建议升级FFmpeg或禁用MagicYUV解码器缓解风险。

以上内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景科技观点，因此第三方对以上内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景科技一律不予承担。