DriveSurge利用社会工程策略攻击数千网站
发布时间 2026-06-021.DriveSurge利用社会工程策略攻击数千网站
6月1日,网络安全公司Silent Push最新研究发现,一个名为DriveSurge的威胁行为者正利用ClickFix和FakeUpdates两种社会工程技术,在数千个被入侵的网站上开展大规模恶意软件分发活动。DriveSurge主要扮演初始访问代理的角色,采用按安装付费模式,为后续更严重的网络攻击铺路。在该攻击活动中,受害者访问被入侵的合法网站后,会被重定向到一个名为zTDS的开源流量分配系统。zTDS自2015年就已存在,而DriveSurge至少从2025年9月开始使用它。该系统会对每个访问者进行分析,动态判断是展示FakeUpdates诱饵还是ClickFix诱饵更为合适。Silent Push指出,DriveSurge利用zTDS劫持了数千个信誉良好的网站,在网站所有者和访问者均不知情的情况下,悄然将流量导向恶意软件分发基础设施。FakeUpdates攻击通过伪造的浏览器更新提示引诱受害者,覆盖Chrome、Firefox、Edge、Safari、Opera、Brave、Yandex、Vivaldi、三星浏览器及UC浏览器等主流浏览器。而ClickFix攻击则是一种流行的社会工程策略,它诱骗受害者以解决技术问题为幌子,在系统上复制并执行恶意命令,从而导致感染。
https://www.bleepingcomputer.com/news/security/hackers-hijack-thousands-of-sites-for-clickfix-and-fakeupdate-attacks/
2. Red Hat npm遭入侵,“Miasma”窃取开发凭证
6月1日,近日,一起针对Red Hat的供应链攻击导致其“@redhat-cloud-services”命名空间下的30多个npm软件包被植入后门,传播名为“Miasma”的Shai-Hulud恶意软件新变种。据统计,这些被入侵的软件包每周下载量约达11.7万次。攻击者疑似通过入侵一名Red Hat员工的GitHub帐户,直接向多个存储库推送恶意提交。这些提交添加了GitHub Actions工作流及一个脚本,该脚本滥用npm的发布机制,利用OIDC令牌通过npm的可信发布端点进行身份验证,批量发布带有后门的软件包版本。被入侵的软件包中包含恶意的“preinstall”脚本,开发者安装软件包时会自动执行一个高度混淆的index.js文件(约4.2 MB),用于窃取GitHub Actions密钥、AWS及Google Cloud凭证、Azure服务主体凭证、HashiCorp Vault令牌、Kubernetes服务账户令牌、npm和PyPI发布令牌、SSH密钥、Docker凭证、GPG密钥以及.env文件中的敏感信息。Red Hat已将受影响软件包从npm注册表中删除,并强调此次泄露仅限于内部开发工具,尚未发现客户或合作伙伴环境及Red Hat生产系统受到任何影响,但未说明账户被入侵的具体原因。
https://www.bleepingcomputer.com/news/security/red-hat-npm-packages-compromised-to-steal-developer-credentials/
3. Dashlane遭暴力破解攻击,用户账户被自动锁定
6月1日,近日,多名Dashlane密码管理服务的用户遭遇账户被锁定事件,原因是攻击者发动了暴力破解攻击,试图从远距离地点和未知设备登录用户账户。Dashlane公司证实,此次账户暂停是其自动化安全响应机制的一部分,旨在防止账户被劫持。事件曝光源于多名用户在Reddit上发帖,称收到了来自国外的可疑访问请求通知邮件,其中包含用于注册新设备的验证码。许多用户感到困惑,因为他们并未发起这些请求,一度怀疑这是针对Dashlane用户的网络钓鱼攻击。随后,Dashlane在Reddit上回复称其系统是安全的,暴力破解攻击通过连续尝试多个密码来获取账户访问权限,而平台会通过速率限制、验证码挑战和账户锁定等保护措施,在失败尝试次数达到阈值后自动阻止此类攻击。根据Dashlane状态页面显示,对该事件的调查于5月31日15:19 UTC启动,至22:30 UTC被标记为“已解决”,声称所有受影响账户已解封。6月1日07:32 UTC发布的更新确认了同样情况,Dashlane保证团队正在监控并实施额外措施。
https://www.bleepingcomputer.com/news/security/dashlane-password-manager-users-locked-out-by-brute-force-attacks/
4. Steam评论藏恶意代码,近2000个WordPress网站感染
6月1日,近2000个WordPress网站感染了一种新型恶意软件,该恶意软件利用Steam社区个人资料评论中的不可见Unicode字符隐藏命令与控制(C2)数据。自2025年7月首次发现该攻击活动以来,GoDaddy的安全工程师已在大约1980个WordPress网站上检测到该恶意软件。目前尚不清楚黑客入侵这些网站的具体方式,研究人员认为初始感染途径可能包括:窃取管理员登录信息或泄露的FTP/SFTP凭据、利用存在漏洞的WordPress主题或插件,或者通过供应链攻击植入恶意代码。植入网站的第一阶段恶意软件利用WordPress页面加载来访问特定的Steam个人资料,并从看似无害的评论中提取文本。然而,这些文本中包含隐藏的Unicode字符,它们承载着实际恶意载荷,有时伪装成ASCII艺术。解码器会忽略所有可见字符,将不可见字符映射为数字并转换为二进制,最终重建出字节。解码后的有效载荷用于构建一个hello-mywordl[.]info的URL,该URL提供伪装成合法JavaScript库的恶意代码,并注入到每个WordPress前端页面中。攻击的最后阶段是植入一个后门,该后门会响应包含特定身份验证cookie的POST请求,通过POST参数接收base64编码的PHP代码。
https://www.bleepingcomputer.com/news/security/wordpress-malware-campaign-hides-payloads-in-steam-profiles/
5. Windows Netlogon严重漏洞遭活跃利用
6月1日,比利时网络安全中心(CCB)近日发出警告,威胁行为者正在积极利用微软最近修复的一个Windows Netlogon严重漏洞(CVE-2026-41089)发起攻击。该漏洞是微软在2026年5月“补丁星期二”活动中修复的,被描述为Windows Netlogon服务中的基于堆栈的缓冲区溢出漏洞,允许没有权限的攻击者在目标域控制器上获得远程代码执行权限。攻击者只需向充当域控制器的Windows服务器发送特制的网络请求,即可无需登录或事先获得访问权限,在受影响的系统上运行恶意代码。该漏洞影响所有当前受支持的Windows Server版本,包括最新版本Windows Server 2025,由微软内部的Windows攻击研究与保护团队发现。CCB在周五发布警告称该漏洞目前已遭活跃利用,并敦促管理员立即修补存在漏洞的服务器。CCB在推特上指出,该漏洞的CVSS 3.1评分为9.8,属于严重级别。然而,CCB并未提供有关这些持续攻击的具体细节,也没有回应媒体进一步信息的要求。微软尚未更新其安全公告,也未确认该漏洞是否已被活跃利用。
https://www.bleepingcomputer.com/news/microsoft/critical-windows-netlogon-remote-code-execution-flaw-now-exploited-in-attacks/
6. 朝鲜黑客借虚假Zoom更新攻击加密货币与Web3行业
6月1日,根据SpiderLabs的最新报告,一个被归咎于朝鲜黑客组织Sapphire Sleet的恶意软件攻击活动,正在专门针对加密货币组织、风险投资公司和Web3开发人员。攻击流程始于黑客通过LinkedIn、Telegram、电子邮件或其他专业平台联系目标组织的成员,冒充招聘人员、投资者或商业伙伴。一旦建立初步信任关系,攻击者便会提议进行视频会议。然而在会议开始前,受害者会被指示安装一个所谓的“Zoom SDK更新”。实际下载的文件并非合法更新,而是一段恶意的AppleScript脚本,该脚本随即启动一个多阶段的感染链。获得初始访问权限后,恶意软件会指示受信任的macOS组件下载额外的有效载荷,以实现持久化访问并绕过安全控制措施。同时,它会定期与命令与控制服务器通信。接下来,一个名为systemupdate.app的虚假应用程序会弹出一个看似macOS原生身份验证窗口的提示,用于窃取用户的登录密码。在完成环境探测和权限获取后,恶意软件开始搜索受感染设备中有价值的信息,目标包括:加密货币软件钱包、本地浏览器扩展数据、Telegram会话信息、本地SSH密钥以及Apple Notes中的未加密记录。所有这些被窃取的数据随后会被打包压缩,并发送到朝鲜控制的服务器。
https://cybernews.com/security/north-korean-hacker-macos-malware/
京公网安备11010802024551号