每日安全简讯(20250609)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 与俄罗斯关联的黑客组织使用PathWiper攻击乌克兰关键基础设施

Cisco Talos近日披露，乌克兰一家关键基础设施机构遭到俄罗斯关联的APT组织攻击，黑客部署了新型破坏性恶意软件“PathWiper”。研究显示，攻击者通过合法的终端管理工具控制管理控制台，远程向受害终端下发命令并执行恶意VBScript脚本，进而释放并运行名为“sha256sum.exe”的PathWiper载荷。该恶意程序可识别本地及网络存储设备，逐个线程并发擦除磁盘结构如MBR、$MFT等关键文件系统区域，方式类似此前俄罗斯Sandworm组织使用的HermeticWiper。Talos指出，该攻击手法与以往针对乌克兰的攻击高度相似，表明黑客对目标网络环境和运维流程极为熟悉。PathWiper代表着俄乌网络冲突中擦除型攻击手段的持续升级，Cisco报告中已公开相关威胁指标（IOCs）供防御方参考。

https://securityaffairs.com/178726/apt/russia-linked-threat-actors-targets-ukraine-with-pathwiper-wiper.html

---

2 伪装成合法应用程序的恶意npm包远程删除应用

安全公司Socket披露，两个伪装为合法开发工具的恶意NPM软件包被发现具备远程删除应用目录的破坏性功能。这两个名为express-api-sync与system-health-sync-api的工具包由用户“botsailer”于2025年6月3日上传至NPM平台，目前已被官方下架。其中，express-api-sync号称能同步Express应用数据库，实则注册了一个隐藏HTTP接口/api/this/that，一旦接收到携带特定“杀伤密钥”的POST请求，就会通过系统命令rm -rf *删除工作目录下所有文件。更复杂的system-health-sync-api不仅包含合法依赖和健康检查接口，还暗藏两个后门路径（/_/system/health和/_/sys/maintenance），可在攻击者远程指令下删除文件。攻击者还通过收集系统主机名、IP及环境变量哈希实现识别与追踪，通信使用邮箱地址anupm019@gmail[.]com。尽管两个软件包下载量仅300次左右，但其高度伪装和远程“自毁”机制暴露了NPM生态潜在的破坏性威胁。Socket警告，未来类似攻击可能将针对更广泛的开发框架并持续演化。

https://www.scworld.com/news/fake-npm-utilities-remotely-delete-entire-app-directories

---

3 美国税务公司Optima遭勒索攻击导致客户数据泄露

美国知名税务解决公司Optima Tax Relief近期遭遇Chaos勒索软件攻击，黑客不仅加密了其服务器，还窃取并公开了69GB公司及客户数据。攻击事件已被该勒索团伙列入其泄密网站。Optima自称为美国领先的税务和债务解决机构，已协助客户解决超30亿美元税务负债。本次泄露的数据包含大量敏感客户档案和企业资料，其中涉及社保号码、电话、住址等关键个人信息，极有可能被用于身份盗窃或进一步犯罪活动。消息人士向BleepingComputer透露，此次事件为“双重勒索”攻击，即数据在被窃取的同时也被加密，施压公司支付赎金。Chaos勒索软件是2025年3月兴起的新型勒索组织，迄今已声称多起攻击，包括近期对救世军的侵害。值得注意的是，此Chaos团伙并非2021年活跃的“Chaos Builder”工具用户群，而是一个新兴、独立的勒索组织。Optima尚未正式回应相关媒体的置评请求。

https://www.bleepingcomputer.com/news/security/tax-resolution-firm-optima-tax-relief-hit-by-ransomware-data-leaked/

---

4 黑客在俄语地下论坛上公开泄露超过8600万条AT&T客户记录

2025年6月，黑客在俄语地下论坛上公开泄露了超过8600万条AT&T客户记录，包括已解密的社会安全号码（SSN）、出生日期、地址等完整个人身份信息。该数据据称源自2024年4月ShinyHunters组织入侵Snowflake云平台事件。然而经Hackread.com分析，泄露数据结构清晰、格式规范，与此前AT&T确认的Snowflake泄露存在出入，尚无法确认是否为同一事件的数据集。更令人担忧的是，这些SSN原本为加密状态，现已被完全解密，极大提升了身份盗用与金融欺诈的风险。AT&T尚未确认此次泄露的具体来源，仅表示已通知受影响用户并配合第三方安全机构展开调查。此次事件引发美国参议员对AT&T与Snowflake安全管理的质疑，也再次凸显关键基础服务提供商在客户数据保护方面的巨大挑战。

https://hackread.com/hackers-leak-86m-att-records-with-decrypted-ssns/

---

5 德国数据监管机构对沃达丰处以4500万欧元罚款

德国联邦数据保护与信息自由专员（BfDI）对沃达丰德国公司处以总额达4500万欧元的罚款，原因是其数据保护管理存在严重漏洞，导致客户数据遭受利用。其中1500万欧元罚款源于沃达丰未能对其代理合作伙伴进行充分监督，致使部分代理员工伪造合同或擅自更改客户协议，构成欺诈行为。另一项3000万欧元罚款则针对沃达丰“MeinVodafone”线上服务与热线系统联用中的身份验证缺陷，漏洞一度允许未经授权的第三方访问用户eSIM配置文件。此外，BfDI还就其分销系统中存在的安全问题向沃达丰发出正式警告。沃达丰现已更换部分系统、改进流程，并与违规合作方终止合作。专员表示，沃达丰在整个调查过程中保持充分配合，并主动披露不利信息。罚款已全额缴纳。监管机构强调，数据保护不应成为企业的短板，而是建立用户信任的重要竞争力。沃达丰已将数据保护作为企业战略重点，并向多家推广网络安全与数字素养的公益组织捐款，以表其改过决心。

https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/EN/2025/06_Geldbu%C3%9Fe-Vodafone.html

---

6 Vile组织成员因入侵执法数据库被判入狱

美国司法部宣布，因入侵执法数据库并实施网络暴力“起底”（doxing）行为，网络犯罪团体“Vile”的两名成员被判处有期徒刑。21岁的萨加·史蒂文·辛格（Sagar Steven Singh，网名“Weep”）被判入狱27个月，27岁的尼古拉斯·塞拉奥洛（Nicholas Ceraolo，网名“Convict”、“Anon”、“Ominous”）则被判25个月。两人此前已就计算机入侵共谋及严重身份盗用罪名认罪。他们利用盗取的执法人员凭证，非法访问了一个执法门户网站，获取包含情报报告、毒品与现金扣押记录等敏感数据的DEA（美国缉毒局）数据库信息，用于建立一个doxing网站。该网站以泄露个人敏感信息为要挟，要求受害者支付费用以移除其数据，有时甚至伴有暴力威胁。在部分案例中，受害者被迫出售社交账号并交出收益以换取安全。除了入侵数据库外，“Vile”还通过内鬼及冒充客户服务方式窃取信息。该案凸显了执法信息系统被利用的风险以及网络犯罪团伙对个人安全构成的严重威胁。

https://www.securityweek.com/men-who-hacked-law-enforcement-database-for-doxing-sentenced-to-prison/

---