HackerNews

科技巨头东芝和大型零售商无印良品警告访客，其网站上出现的可疑登录弹窗可能会窃取用户凭证。 这两家日本公司均建议在认证界面中输入了账户登录信息的用户立即更改密码，以保护其服务账户安全。 这些登录弹窗由托管在 polyfill[.]io 的外部服务生成。该服务于 2024 年在其 CDN 分发的脚本中引入了恶意代码。 东芝在一则简短通报中表示：「我们已确认，我们网站的某些部分可能会...

黑客正在积极利用 Everest Forms Pro 插件中的一个关键漏洞（CVE-2026-3300），该漏洞可让他们完全控制 WordPress 网站。 该安全问题影响插件 1.9.12 及更早版本，无需身份验证即可被利用，在服务器上执行任意代码。 Everest Forms Pro 是 WordPress 表单构建插件 Everest Forms 的商业附加组件。它用于创建联系表单、注册表单...

根据网络安全公司 Mandiant 的一份最新报告，Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和专业服务组织发起社会工程攻击，往往在初次接触后数小时内就完成数据窃取。 这份报告发布之前，FBI 上周发布了一份 FLASH 通告，警告称 Silent Ransom Group 正针对美国律师事务所进行社会工程攻击，甚至是现场数据窃取攻击。Mandiant 现在提供了...

思科周四向客户通报，其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检测到的第 7 个被利用的该类漏洞。 该新漏洞编号为 CVE-2026-20245，影响 Cisco Catalyst SD-WAN Manager 的命令行界面（CLI），目前思科尚未发布补丁。 拥有合法身份认证的本地攻击者可通过特制文件利用该漏洞，以 root 权限执行任意命令。...

Meta 表示，在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中，约有 2 万个 Instagram 账户可能遭到入侵。 黑客只需向 Meta 的聊天机器人提出请求，将其自己的电子邮件地址绑定到目标账户上，就能入侵大量 Instagram 账户。这使得黑客可以重置账户密码并夺取控制权。 据报道，许多高知名度账户遭到入侵并在暗网上被出售。受影响的账户包括奥巴马白宫、丝芙兰（Sephora）以及美...

美国网络安全与基础设施安全局（CISA）已将影响 SolarWinds Serv-U 多协议文件服务器软件的一个高危安全漏洞加入其已知被利用漏洞（KEV）目录，理由是有证据表明该漏洞已被活跃利用。 该漏洞编号为 CVE-2026-28318（CVSS 评分：7.5），是一个拒绝服务（DoS）漏洞，在特定条件下会导致服务崩溃。CISA 将其描述为一个不受控制的资源消耗漏洞，最终引发 DoS 状态。 ...

Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件，将载荷隐藏在 Windows 数据流中，并通过 Telegram 解析 C2 地址。 Sekoia 的威胁检测与研究团队于 2025 年 12 月底发布了一条 YARA 规则，用于搜寻新的初始访问向量。到 2026 年 1 月，该规则已产生十几次命中。Sekoia 研究人员发现了一条 Gamaredon 的感染...

黑客成功入侵了一家全球大型证券交易所高级管理人员的电子邮件账户，并在此后数月内持续窃取数据。 这起攻击由 Broadcom 旗下的 Symantec 和 Carbon Black 威胁追踪团队进行调查。攻击始于 2025 年 10 月，威胁行为者直至 2026 年 3 月仍保留着对被入侵 Outlook 邮箱的访问权限。安全专家估计，其驻留时间约为 150 天。 此次行动的目的极有可能是间谍活动，...

一场新的 Magecart 攻击活动正利用 Stripe 的 API 基础设施来托管信用卡窃取负载以及从结账页面窃取的数据。 整个恶意活动依赖于 Google Tag Manager 和 Stripe 的域名（googletagmanager.com 和 api.stripe.com），这些域名被在线商店无条件信任。 该新型恶意软件家族由电商安全公司 Sansec 的研究人员发...

牙科福利管理机构 DentaQuest 发生数据泄露事件，据报道已暴露 260 万账户的敏感信息。 该安全事件于上月曝光，当时臭名昭著的勒索组织 ShinyHunters 将该公司的数据列在其泄露网站上，并声称已窃取超过 234 GB 的数据。据该威胁行为者称，在与公司未能达成协议后，这些数据被公开泄露。 DentaQuest 是 Sun Life 旗下的子公司，也是美国最大的牙科福利管理机构之一...

Hola 浏览器的 Windows 版本在一次供应链攻击中被入侵，攻击者通过该浏览器分发了一个未申报的可执行文件，研究人员确认该文件为加密货币矿机。 这一入侵事件是在 Hola 浏览器为通过 AppEsteem 认证而进行的定期合规性检查中发现的。该浏览器此前曾通过该项认证。 Hola 是一家以色列公司，以其 Hola VPN 闻名。该 VPN 服务允许用户通过其他用户的设备或付费代理基础设施路由...

思科已修复 Unified Communications Manager 中的一个漏洞，该漏洞允许网络上未经过身份验证的攻击者向设备写入文件，并进而提权至 root。 该漏洞编号为 CVE-2026-20230，概念验证（PoC）利用代码已经公开。思科 PSIRT 表示尚未发现该漏洞被用于实际攻击，但公开的 PoC 无疑缩短了防御窗口期。 该漏洞属于服务器端请求伪造类型。Unified CM 及其...

谷歌发布 2026 年 6 月安卓安全补丁，共计修复 124 项系统漏洞，其中CVE-2025-48595权限提升漏洞已被黑客在真实定向攻击中实战利用。   本次安全更新覆盖全系统 124 处安全缺陷，漏洞 CVE-2025-48595 CVSS 评级 8.4 分，为本次补丁重点，该漏洞现已出现野外利用案例。   受影响系统版本：Android 14、Android 15、An...

美国财政部海外资产控制办公室（OFAC）宣布制裁伊朗头部加密货币交易所 Nobitex，理由是该平台协助处理涉恐怖活动相关资金流转。   美方认定 Nobitex 协助相关主体规避经济制裁，同时为伊朗伊斯兰革命卫队（IRGC）相关资金提供交易通道。美方监管部门在链上流水中查到多组钱包地址，背后是隶属于伊朗伊斯兰革命卫队的勒索软件黑产团伙。     美国财政部公告原文：...

俄罗斯联邦安全局（FSB）发布消息，指控境外情报机构在俄方高级官员手机中植入恶意程序，用以窃听通话、远程开启设备摄像头，但未披露任何技术实证，也未指明涉事国家。   2026 年 6 月 2 日，俄罗斯联邦安全局发布通报，称破获并查实一起境外情报部门发起的大规模情报窃取行动，目标为俄高层公务人员的移动终端。相关设备遭植入间谍恶意软件，可窃取本机数据、截获通话录音，还能在后台私自启用麦克风...

主流 Web 服务器的 HTTP/2 默认配置存在安全缺陷，攻击者可组合压缩炸弹与类 Slowloris 长连接锁死攻击链路实施打击。   加州安全研究人员警示，多款已知拒绝服务（DoS）攻击手法可拼接形成全新攻击利用程序，能造成主流网页服务器下线瘫痪。     该攻击被命名为 HTTP/2 炸弹，借助 OpenAI Codex 工具被发现，它融合了针对 HTTP/2...

Redis 官方修复了其阻塞客户端代码中的一处释放后重用（use-after-free）漏洞，该漏洞允许已认证用户在运行该数据库的服务器上执行任意操作系统命令。此漏洞是由一款专为大型代码库设计的自主 AI 漏洞挖掘工具发现的。   该漏洞编号为CVE-2026-23479，最早出现在 Redis 7.2.0 版本中，并在所有稳定分支中潜伏了两年多，直至 5 月 5 日才被修复。美国国家漏...

美国网络安全与基础设施安全局（CISA）、联邦调查局（FBI）、国家安全局（NSA）、能源部及多家美方政府机构联合发布安全预警：黑客正盯上公网暴露的自动油罐计量系统（ATG），该设备广泛应用于多个关键基础设施行业，用于油料与液态储罐监测。   CISA 介绍，能源、化工、农林食品、交通运输等关键领域普遍部署 ATG 系统，实现储罐液位、罐体温度、泄漏隐患的远程监测。   &nb...

美国网络安全与基础设施安全局（CISA）已下发指令，要求各级政府机构紧急加固系统，封堵一款高危 Oracle WebLogic Server 漏洞。该漏洞早在两年前就已发布官方补丁，如今黑产团伙已在真实攻击中频繁利用此漏洞入侵系统。 Oracle WebLogic Server 是企业级 Java 应用中间件服务器，多用于搭建大型多层分布式业务系统。   漏洞编号CVE-2024-211...

六款微软 365 安卓客户端存在同源漏洞，数十亿次下载对应的用户设备均存在被入侵隐患。   漏洞由 AI 自动化漏洞挖掘厂商 Enclave 率先发现，相关研究原定周二对外公开，内容已独家交由《SecurityWeek》首发。问题根源是Word、PowerPoint、Excel、微软 365 Copilot、Microsoft Loop、OneNote 这六款安卓应用正式版代码里遗留了调...