每日安全简讯(20250606)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 恶意RubyGems伪装成Fastlane插件窃取Telegram API数据

Socket威胁研究团队近期发现，针对RubyGems生态的供应链攻击正在进行。攻击者以“Bùi nam”等身份发布了两个恶意Gem包（fastlane-plugin-telegram-proxy与fastlane-plugin-proxy_teleram），冒充常用的Fastlane插件，诱导受Telegram封禁影响的开发者安装。恶意插件通过伪装成“代理工具”，实则将所有发送至Telegram API的数据转发至攻击者控制的服务器，包括Bot令牌、聊天内容、上传文件等敏感信息。由于Fastlane常用于CI/CD流程，攻击影响极深，可能导致签名密钥和发布包泄露。此次行动紧随越南5月21日全国封禁Telegram之后，攻击者显然借机精准投放恶意包，利用开发者寻求“替代插件”之际实施窃密。两个Gem至今仍在RubyGems平台上架，研究人员已请求下架并建议受影响组织立即替换插件、封锁通信域名并更换Telegram令牌。此次事件揭示了地缘政治事件与软件供应链攻击之间的潜在联动，也提醒开发者对开源依赖的信任需保持高度警惕。

https://socket.dev/blog/malicious-ruby-gems-exfiltrate-telegram-tokens-and-messages-following-vietnam-ban

---

2 新型安卓银行木马Crocodilus在全球范围内迅速扩散

近期安全研究公司ThreatFabric披露，一款名为“Crocodilus”的新型安卓银行木马正在全球范围内迅速扩散。该恶意软件最初活跃于土耳其，现已蔓延至欧洲多国及南美地区。攻击者通过社交媒体上的恶意广告传播该木马，诱导用户下载安装伪装成银行或购物应用的恶意程序。一旦感染设备，Crocodilus可窃取加密钱包助记词、私钥，并伪造联系人如“银行客服”，实施社交工程诈骗。其最新变种具备更强的隐蔽能力，使用代码打包、XOR加密等手法规避检测，甚至能绕过Android 13以上的安全机制。专家指出，该木马已不再局限于某一地区，展现出更成熟、更有组织的攻击特征。面对其快速进化与扩散，用户与机构需加强防范，警惕此类高级移动威胁的持续升级。

https://securityaffairs.com/178578/malware/android-banking-trojan-crocodilus-evolves-fast-and-goes-global.html

---

3 惠普发布安全公告修复StoreOnce中的多个漏洞

惠普（HPE）近日发布安全公告，修复了其StoreOnce数据备份与重复数据删除解决方案中存在的8个漏洞。这些漏洞涵盖远程代码执行、认证绕过、信息泄露、服务端请求伪造等严重风险，可能被远程攻击者利用对系统进行入侵或获取敏感数据。其中最严重的为CVE-2025-37093认证绕过漏洞，CVSS评分高达9.8，影响所有4.3.11版本之前的软件，且可被与其他漏洞联动使用，实现远程代码执行。此次修复的漏洞包括多个由Zero Day Initiative（ZDI）报告的问题，涵盖目录遍历与任意文件删除等攻击路径。HPE强烈建议用户尽快升级StoreOnce至最新版本，以防范可能的网络攻击。此事件再次警示企业级备份系统在安全管理中的关键性。

https://securityaffairs.com/178629/security/hpe-fixed-multiple-flaws-in-its-storeonce-software.html

---

4 Coinbase数据泄露事件与印度TaskUs客服受贿有关

加密货币交易平台Coinbase近期披露的一起数据泄露事件，已被追踪至印度外包公司TaskUs的客服人员。据路透社调查，攻击者通过贿赂方式操控部分客服代理，窃取用户敏感信息用于后续的社会工程攻击。事件最初于2025年1月被内部员工发现，一名员工被目击使用手机拍摄屏幕内容，随后两人承认向外部黑客泄露Coinbase客户数据换取金钱回报。Coinbase于5月正式对外披露此事件，确认用户姓名、电邮、部分财务信息、社会安全号码、交易记录及身份证扫描件等数据被盗。黑客团伙甚至向Coinbase勒索2000万美元未果，而Coinbase则反向悬赏等额奖金以追查幕后真凶。事件预计给Coinbase带来高达4亿美元的损失，目前已有近7万名用户受到影响。TaskUs表示，这起事件是更大范围的有组织犯罪活动的一部分，已解雇涉事员工并终止了印度印多尔地区的全部Coinbase业务。

https://www.bleepingcomputer.com/news/security/coinbase-breach-tied-to-bribed-taskus-support-agents-in-india/

---

5 Interlock勒索团伙攻击Kettering Health后泄露患者数据

美国俄亥俄州医疗机构Kettering Health近期遭到勒索软件攻击，造成包括化疗和术前预约在内的多个关键医疗服务被中断。攻击发生于5月20日，当时Kettering Health对外披露系统性技术故障，随后确认为网络入侵所致。6月初，勒索软件组织Interlock在其泄露网站上公布了多达941GB、超过73万份文件的数据，声称来自Kettering Health。泄露内容涉及身份证明、支付记录、财务报告等敏感信息，目前尚未确认是否包含实际患者健康数据。Kettering Health旗下运营14家医院和120多个门诊，覆盖超过1800名医疗服务人员。此次攻击不仅影响IT系统，还导致救护车被转送至他院，员工不得不回归纸质记录。Kettering方面已于6月2日恢复其电子病历系统Epic的核心组件，但电话系统和患者端MyChart仍在修复中。Interlock组织此前也被指控攻击了肾透析公司DaVita，显示其持续瞄准医疗行业进行高压勒索。此次Kettering事件凸显勒索攻击对关键医疗服务和患者生命安全造成的严重威胁，医疗行业亟需强化防御与响应机制。

https://www.theregister.com/2025/06/04/ransomware_scum_leak_kettering_patient_data/

---

6 维多利亚的秘密因网络安全事件推迟2025年一季度财报发布

知名时尚零售巨头维多利亚的秘密因5月24日发生的安全事件，推迟了原定发布的2025年第一季度财报。此次安全事件导致公司被迫关闭部分企业系统、部分门店服务及电商网站进行恢复。官网于5月29日恢复上线，但公司内部系统访问仍受限，影响了财报数据的准备和发布进度。维多利亚的秘密在截至2025年2月1日的财年中实现了62.3亿美元的营收，管理着全球约1380家门店。公司已聘请外部专家评估事件影响，恢复工作仍在持续进行。虽然官方未公开具体的攻击细节，但相关声明暗示此次事件可能涉及勒索软件攻击。此安全事件发生在时尚零售行业遭受连续攻击的背景下，类似事件曾波及迪奥、卡地亚等法国奢侈品牌。德国运动品牌阿迪达斯也于上周披露其客户服务供应商遭黑客入侵，客户数据被窃。英国多家零售商如哈罗德、Co-op及Marks & Spencer等，也先后成为DragonForce勒索团伙和Scattered Spider威胁集团的攻击目标。此次维多利亚的秘密事件再次凸显时尚零售行业面临的严峻网络安全挑战。

https://www.bleepingcomputer.com/news/security/victorias-secret-delays-earnings-release-after-security-incident/

---