NFCShare恶意软件新变种瞄准欧洲金融机构
发布时间 2026-06-091. NFCShare恶意软件新变种瞄准欧洲金融机构
6月8日,近期,一种名为NFCShare的Android恶意软件新变种正通过网络钓鱼活动,针对欧洲多家银行及金融机构的客户展开攻击,意图窃取用户的支付卡数据。该恶意软件以GitHub上托管的合法银行应用程序的虚假更新为诱饵进行传播。其攻击手段颇具技术性:首先通过伪造的验证屏幕诱导受害者将银行卡贴近手机的近场通信芯片,随后利用Android系统的IsoDep接口和EMV命令读取卡片信息。在此过程中,恶意软件以“安全验证”为名,窃取用户输入的卡号、卡片类型、到期日期以及4位PIN码,并通过WebSocket通道将数据泄露至攻击者的命令与控制主机。这些被窃取的信息后续可能被用于NFC支付中继方案,例如NGate、SuperCard X和RelayNFC等已知恶意软件攻击中。NFCShare最早于2026年1月由D3Lab研究人员记录并持续跟踪。最近一波攻击自5月14日以来,主要通过钓鱼网站诱导受害者输入银行凭证,随后以“更新银行应用”为由,将用户重定向至GitHub仓库下载恶意APK文件。此外,假冒银行代表的短信或电话也可能被用作社会工程学攻击的一部分。自4月10日以来,用于分发NFCShare的GitHub仓库已托管了56个模仿意大利和西班牙多家银行的恶意APK,包括Intesa Carte、CaixaBank等。
https://www.bleepingcomputer.com/news/security/nfcshare-android-malware-spreads-via-fake-banking-app-updates-on-github/
2. SoFi香港因供应商数据库遭入侵导致数据泄露
6月8日,美国金融科技公司SoFi近日向香港客户发出警告,称其遭遇数据泄露事件,黑客入侵了第三方供应商的数据库,该数据库中包含客户信息。SoFi总部位于美国,主要提供银行、投资、贷款及其他个人金融服务,同时运营SoFi香港分公司,为香港客户提供投资和证券服务。该公司于2026年4月30日发现该事件,当时通过其一家供应商检测到有人未经授权访问了SoFi Securities (Hong Kong) Limited的数据库。发现事件后,SoFi立即聘请第三方网络安全公司进行应对。该公司表示,调查仍在进行中,目前仍不清楚哪些具体数据可能已被泄露。尽管SoFi未明确可能泄露的信息类型,但公司警告客户要对网络钓鱼攻击、可疑通信和异常账户活动保持警惕。建议客户更新密码,尽可能启用双因素身份验证,监控财务账户是否存在可疑活动,并避免打开未经请求的邮件或消息中的链接或附件。SoFi表示,已对受影响的账户增加了额外的安全保障和监控措施,并可能要求联系客服或进行账户更改的客户提供额外的验证信息。
https://www.bleepingcomputer.com/news/security/sofi-confirms-third-party-data-breach-at-hong-kong-subsidiary/
3. PyPI遭供应链攻击:19个软件包被植入恶意代码
6月8日,黑客近期入侵了Python包索引(PyPI)上的19个软件包,共37个恶意版本,累计被下载数十万次。这是名为“Shai-Hulud”的供应链攻击活动的最新一波,旨在传播窃取开发者机密的恶意软件。受感染的软件包多为流行的生物信息学工具,包括Dynamo、Spateo、CoolBox、U-FISH和Napari-UFISH等,这些软件包似乎均来自同一维护者。该攻击由应用程序安全公司Socket发现并报告。恶意工件中包含一个“*-setup.pth”文件和一个名为“_index.js”的混淆JavaScript有效载荷。用户启动Python时即可触发PTH文件执行,该文件会尝试从GitHub下载Bun JavaScript运行时来运行捆绑脚本。这意味着一个被篡改的wheel文件能将原本被动的依赖安装变成延迟执行触发器,下一次启动Python、pip、测试运行、笔记本内核、CI作业或包管理命令时,都可能触发恶意.pth文件执行。Socket将此次攻击归因于更广泛的Shai-Hulud活动,目前与该活动相关的恶意工件总数已达453项。攻击目标与以往Shai-Hulud行动一致,即破坏软件开发工作流程以进一步传播恶意软件。
https://www.bleepingcomputer.com/news/security/new-shai-hulud-attack-trojanizes-19-science-focused-pypi-packages/
4. WhatsApp阻止NSO集团新一轮钓鱼攻击
6月8日,WhatsApp近日在调查用户举报的社交工程攻击后,成功检测并阻止了据称由以色列商业间谍软件供应商NSO集团发起的一轮网络钓鱼攻击活动。NSO集团以其先进的“飞马”间谍软件工具而闻名,该工具长期被用于针对政治家、活动家、记者、学者等“备受关注”的个人。自2021年11月以来,NSO因向外国政府提供用于针对美国境内人员及组织的软件产品,已被列入美国制裁实体名单。尽管面临制裁和法律制裁,NSO仍持续以WhatsApp用户为目标,多次利用零日漏洞发起攻击。WhatsApp母公司Meta此前在美国法院与NSO集团展开法律斗争,并于2025年获得永久禁令,禁止NSO针对WhatsApp或其用户实施间谍软件攻击。在此次被阻止的攻击中,攻击者试图诱骗目标点击重定向至外部网站的恶意链接,手法与此前记录的NSO相关“一键式”网络钓鱼活动相似。Meta表示,在调查用户报告后成功阻止了这些攻击,并发现攻击者在WhatsApp上创建了测试账号和群组,已将其全部删除。Meta认为,NSO此举明确违反了法院颁布的永久禁令。
https://www.bleepingcomputer.com/news/security/whatsapp-says-it-disrupted-new-nso-spyware-phishing-attacks/
5. 兰辛社区学院数据泄露,超17.4万人信息遭窃
6月8日,密歇根州兰辛社区学院(LCC)近日通知超过17.4万人,称他们的个人信息在一年多前发生的数据泄露事件中遭到泄露。该公立社区学院在发给受影响个人的通知信中表示,此次事件于2025年2月被发现,大约发生在黑客使用被盗凭证入侵其部分系统一周之后。这意味着,黑客可能在系统中潜伏了数月甚至更长时间才被察觉。事件发现后,LCC立即与第三方网络安全专家合作展开调查。调查确定,黑客获取了包括姓名、地址、出生日期、驾驶执照详细信息以及社会保障号码在内的个人信息。LCC表示,提供给该学院的其他个人信息也可能受到影响,但具体泄露的数据类型因人而异。根据LCC向缅因州总检察长办公室提交的报告,此次数据泄露事件共影响174,307人。作为应对措施,学院将为受影响个人提供24个月的免费信用监控和身份保护服务。LCC还表示,除控制和解决该事件外,已改进安全措施以防止类似事件再次发生。
https://www.securityweek.com/174000-impacted-by-lansing-community-college-data-breach/
6. Baker Distributing遭ShinyHunters攻击
6月5日,勒索软件组织ShinyHunters近日在其暗网泄露网站上发布了美国知名分销商Baker Distributing Company的公司数据,包含数十万条Salesforce和SharePoint记录,涉及员工、客户及内部运营等敏感信息。Baker Distributing是美国最大的HVAC、制冷及餐饮设备分销商之一,业务覆盖广泛的工业供应链。该组织声称,在与公司的谈判失败后,已将数据公开发布到网上,并公布了校验和及下载链接。研究人员对泄露的数据集进行了审查,确认大部分材料来自SharePoint存储库,包含各类内部业务文档。人力资源方面泄露了员工手册、政策模板、健康保险文件等,揭示了内部行政流程;另有营销策略文件、电子商务宣传册及面向客户的常见问题解答材料也被曝光。更值得关注的是Salesforce部分的数据,研究人员从中识别出约1100条员工记录,包括姓名、电子邮件地址、电话号码、职位、部门及账户时间戳。此外,一个包含约3400条销售线索的数据集揭示了潜在客户的联系方式和互动记录。在泄露文件中,研究人员还发现了一个约11.1万条记录的客户联系人数据库,包含姓名、电子邮件、电话号码、公司隶属关系及地址等个人身份信息。更令人担忧的是,约30.2万个IT支持工单也被一并泄露,其中包含时间戳、用户身份及技术问题的详细描述。
https://cybernews.com/security/baker-distributing-ransomware-salesforce-sharepoint-leak/
京公网安备11010802024551号