Hola浏览器Windows版遭供应链攻击
发布时间 2026-06-056月4日,近日,Hola浏览器的Windows版本在一次供应链攻击中遭到入侵,攻击者向用户系统中悄然投放了一个未经声明的恶意可执行文件,经网络安全研究人员鉴定,该文件实为门罗币加密货币挖矿程序。这一安全漏洞并非由用户主动发现,而是在Hola浏览器定期接受AppEsteem认证测试程序的过程中被检测到的。在最新的应用程序完整性检查中,Sophos及其他参与评估的网络安全公司发现,在某些情况下,一个名为“me.exe”的未声明可执行文件被安装于“C:\Program Files\Hola\”目录下。该文件未经认证、无时间戳、无数字签名,内含混淆代码且具备写入内存的能力。经分析,Sophos确认该二进制文件为门罗币加密货币挖矿程序,它会添加一条Windows Defender排除规则,将自身复制到Program Files目录下并命名为“HolaMonitorService.exe”,同时创建一个名为“hola_monitor_svc”的自动启动Windows服务,在计算机空闲时执行挖矿操作。针对此事,Hola回应称已从AppEsteem获悉调查结果并确认供应链遭破坏,仅约0.1%的用户受到影响,且无证据表明用户数据遭访问、窃取或泄露。
https://www.bleepingcomputer.com/news/security/hola-browser-for-windows-compromised-to-deliver-cryptominer/
2. Magecart利用Stripe与Google域名窃取信用卡数据
6月4日,网络安全研究人员发现,Magecart黑客发起了一项新攻击:利用Stripe的API托管窃取信用卡的恶意代码,并存储从电商结账页面盗取的支付数据。整个攻击依赖于电商默认信任的域名googletagmanager.com和api.stripe.com,从而绕过内容安全策略。恶意代码从Google Tag Manager容器加载,在结账页面激活后向Stripe API请求特定客户记录,从中读取混淆的JavaScript并用new Function()执行。该窃取器针对Magento或Adobe Commerce页面,窃取卡号、CVV、姓名、地址等信息。数据经XOR混淆后本地存储,随后每分钟执行一次:将数据分半,创建新Stripe客户对象,将盗取数据存入其元数据字段。每张被盗卡成为攻击者Stripe账户中的虚假记录,Stripe沦为数据后端。数据复制后本地文件被清除。另一攻击变体使用Google Firestore代替Stripe,有效载荷从“braintree-payment-app”项目检索。相关记录创建于2025年12月24日。建议用户使用一次性虚拟卡防范风险。
https://www.bleepingcomputer.com/news/security/credit-card-theft-campaign-abuses-stripe-to-host-stolen-payment-info/
3. DentaQuest数据泄露影响260万账户
6月4日,美国最大的牙科福利管理公司之一DentaQuest近日发生重大数据泄露事件,此次安全事件于上个月首次曝光,当时勒索组织ShinyHunters将DentaQuest列入其数据泄露网站,声称窃取了超过234GB的数据。据该威胁行为者称,由于未能与公司达成协议,数据已被公开泄露。6月2日,DentaQuest在其网站上证实网络遭到入侵,并表示该事件对客户服务造成了“有限的干扰”。公司在声明中称,他们发现未经授权访问了网络的有限部分,在确认初始事件后立即采取行动确保环境安全、遏制攻击并减轻威胁,同时系统保持全面运行,继续为客户提供服务并将中断降到最低。该公司还表示已聘请外部专家协助调查并确定哪些数据遭到泄露。昨天,知名数据泄露预警服务网站Have I Been Pwned分析了泄露的信息,发现其中包含260万个账户的记录。具体暴露的数据内容包括:电子邮件地址、全名、电话号码、政府颁发的身份证件、健康保险信息、性别以及出生日期。虽然DentaQuest的声明并未证实数据泄露是否直接影响其客户,但Have I Been Pwned通常采用多种验证方法对泄露数据集进行核实。该网站还指出,约66%的泄露记录此前已存在于其数据库中,这些记录来自过去影响其他组织和服务的事件。
https://www.bleepingcomputer.com/news/security/dentaquest-data-breach-exposed-info-of-26-million-accounts/
4. 世界粮食计划署遭入侵,60万家庭数据泄露
6月4日,联合国世界粮食计划署近日透露,其在巴勒斯坦加沙地带用于援助登记的自助注册应用程序遭到网络入侵,攻击者窃取了约60万个巴勒斯坦家庭的个人数据。据该组织周日发布的Telegram消息披露,加沙的自助登记应用程序被入侵,攻击者获取了包括受益人姓名、身份证号码、电话号码以及位置信息在内的个人数据。世界粮食计划署在声明中安抚受益人,表示已注册者无需更新、删除或重新注册信息,仍将继续参与援助项目,粮食、现金及其他援助将照常进行。同时,注册平台已被暂时关闭,以便实施紧急安全和系统保护改进措施,该组织正在调查此次事件并持续监控事态发展。虽然该组织尚未公开披露被盗数据的具体人数,但在与世界粮食计划署与《新人道主义》杂志分享的一份声明中确认,攻击者于5月14日入侵系统,窃取了加沙地带约60万个巴勒斯坦家庭的信息。周末期间,世界粮食计划署还警告巴勒斯坦受益人提高警惕,谨防任何声称代表该组织并索要信息或金钱的人员,不要点击或打开可疑链接或消息。
https://www.bleepingcomputer.com/news/security/un-world-food-programme-breach-affects-600-000-gaza-households/
5. IronWorm攻陷36个npm包,窃取云端与加密凭证
6月4日,一场新型供应链攻击已感染Node包管理器索引上的36个软件包,这些包被植入了名为IronWorm的信息窃取恶意软件。据研究人员披露,IronWorm用Rust编写,隐藏于eBPF内核rootkit之后,通过Tor网络与攻击者通信。该恶意软件的目标包括86个环境变量和20个凭证文件,涵盖OpenAI、AWS、Anthropic及npm凭证、Vault配置文件、SSH密钥,乃至Exodus加密货币钱包文件等敏感信息。IronWorm利用窃取的凭证在npm上自我传播,包括与npm可信发布工作流程相关的密钥。一旦攻破开发者或持续集成环境,它便能发布受害者拥有的软件包的木马版本,进而感染更多开发者和系统。攻击始于被入侵的“asteroiddao”账户,通过“preinstall”执行Rust二进制,提交者显示“claude”,时间戳伪造为13年前。恶意软件利用GitHub Actions外传密钥:将密钥写入看似无害的文件并作为构建产物上传,完全避免使用C2服务器,但该变体未实际采用此机制。攻击者还将加密货币钱包恢复短语硬编码在程序中,仅为防止测试阶段被窃。
https://www.bleepingcomputer.com/news/security/new-ironworm-malware-hits-36-packages-in-npm-supply-chain-attack/
6. 欧洲警方取缔伪造身份证件在线市场
6月4日,法国和西班牙当局近日联合取缔了一个专门向在欧盟境内活动的偷渡团伙出售假身份证件的在线市场。5月27日,执法人员在西班牙阿利坎特逮捕了一名嫌疑人,并从其用假名租住的公寓中查获了文件制作设备和约800份伪造的欧洲身份证件。欧洲刑警组织周四表示,据信该嫌疑人运营着一个在线市场,向欧洲各地的客户提供伪造的身份和行政文件,包括纸质版和电子版。该平台涉嫌通过向犯罪网络提供用于逃避边境管制、以欺诈手段获得居留权和促进欧盟内部二次流动的伪造文件,从而为移民走私活动提供便利。此次取缔行动正值欧洲加大打击人口走私力度之际。2026年3月,欧洲刑警组织扩大了打击人口走私的能力,此前欧盟于2025年12月通过了一项新法规,成立了欧洲打击人口走私中心。该中心的任务是加强Frontex、Eurojust和成员国执法机构之间的情报共享、金融调查与协调。
https://www.bleepingcomputer.com/news/security/police-dismantles-fake-id-marketplace-used-by-migrant-smugglers/
京公网安备11010802024551号