每日安全简讯(20250610)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者通过仿冒Spectrum的域名传播Atomic macOS Stealer变种

研究人员披露，一项由讲俄语的攻击者发起的复杂攻击行动正在通过仿冒Spectrum的域名进行新型Atomic macOS Stealer（AMOS）变种的传播。攻击者使用Clickfix方式部署诱导脚本，伪装成CAPTCHA验证页面，并根据用户系统类型动态分发恶意载荷，macOS用户将收到一个专门设计的Shell脚本，用于绕过系统安全机制并窃取用户密码等敏感信息。该脚本会通过 dscl 命令验证用户输入的密码，并将其保存在本地临时目录。随后脚本下载AMOS载荷，使用已获取的密码绕过macOS安全机制（如“隔离属性”），并执行恶意程序。据分析，这些脚本还会自动配置恶意程序以开机启动，具有极强的持续性。此次攻击基础设施存在逻辑混乱，例如前端页面错误地对Linux系统发送Windows PowerShell命令，同时给macOS用户展示“按住Windows+R键”的提示，反映出攻击部署仓促但跨平台意图明显。研究人员还发现，与Homebrew相关的假冒GitHub仓库被用于诱导开发者执行恶意脚本，进一步扩大受害面。代码中存在多处俄语注释，结合HTTP参数及恶意域名注册信息，进一步佐证该活动由讲俄语的攻击团体操控。

https://www.cloudsek.com/blog/amos-variant-distributed-via-clickfix-in-spectrum-themed-dynamic-delivery-campaign-by-russian-speaking-hackers

---

2 新的Mirai变种利用命令注入漏洞大规模感染TBK DVR设备

安全研究人员发现，一个新的Mirai僵尸网络变种正在大规模利用数字录像机（DVR）中的命令注入漏洞（CVE-2024-3721），将设备纳入其控制之下。该漏洞影响TBK Vision的DVR-4104与DVR-4216型号设备，由安全研究员“netsecfish”于2024年4月披露，并提供了可执行远程命令的漏洞利用PoC代码。卡巴斯基在其Linux蜜罐中捕获到了该漏洞的活跃利用行为。攻击者通过构造特定的POST请求并利用mdb与mdc参数注入Shell命令，成功投递一个ARM32架构的Mirai变种恶意程序。该程序随后与攻击者的C2服务器建立通信，将受害设备加入僵尸网络。此次Mirai变种引入了RC4字符串加密、反虚拟机和反仿真检测机制，增强了逃避分析的能力。全球约有超过5万个DVR设备仍暴露在互联网上，易遭利用。专家建议用户尽快更新设备补丁，或在无法更新的情况下进行恢复出厂设置，以避免设备被用于发起DDoS等恶意行为。

https://securelist.com/mirai-botnet-variant-targets-dvr-devices-with-cve-2024-3721/116742/

---

3 攻击者通过Google Play平台传播超20款伪装成知名加密钱包的恶意应用

网络安全公司Cyble近期发现，一场有组织的攻击活动正通过Google Play平台传播超20款伪装成知名加密钱包的恶意应用，目标是窃取用户的12个单词助记词（种子短语），从而盗取其加密资产。攻击者利用仿冒的界面诱导用户输入助记词，随后远程访问真实钱包实施盗币。目前尽管谷歌已下架大部分应用，但仍有少数残留在商店中。Cyble指出，攻击者可能劫持原本用于发布游戏或工具的开发者账号，利用Median框架快速将钓鱼网站封装为Android App，并通过WebView加载诱骗页面。一些应用的隐私政策甚至直接链接至钓鱼站点，显现出高度自动化和组织化的攻击特征。攻击波及钱包品牌包括SushiSwap、PancakeSwap、Raydium等，且相关域名网络覆盖超过50个站点。Cyble已披露相关恶意App与域名IOC信息，提醒用户警惕陌生App、启用Google Play Protect、避免随意输入助记词。该事件再次凸显即便是官方平台，也难以完全遏制针对加密用户的高级钓鱼攻击。

https://hackread.com/malicious-apps-google-play-users-for-seed-phrases/

---

4 研究人员揭露了一起针对NPM的新型供应链攻击事件

网络安全公司Aikido Security揭露了一起针对NPM生态的重大供应链攻击事件，攻击者成功篡改了Gluestack框架中16个广泛使用的react-native-aria相关软件包，影响超过95万次的每周下载量。此次攻击始于美东时间6月6日下午4点33分，最初针对react-native-aria/focus包发布了含远程访问木马（RAT）功能的恶意更新，随后迅速扩散至其他15个软件包。攻击者将恶意代码注入各个包的lib/index.js文件，意图实现对开发者环境的远程控制。Aikido指出，这场攻击手法与先前他们发现的另一起针对rand-user-agent包的攻击高度相似，疑似为同一攻击者所为。该攻击使用多层混淆技术，隐藏恶意有效载荷。研究人员提醒开发者持续关注相关更新，并及时审查自身项目中依赖的受影响组件。这起事件再次表明，开源供应链中的信任缺口，正成为攻击者的突破口。

https://securityaffairs.com/178772/malware/over-950k-weekly-downloads-at-risk-in-ongoing-supply-chain-attack-on-gluestack-packages.html

---

5 攻击者利用钓鱼邮件诱导用户安装恶意浏览器扩展并窃取身份验证令牌

2025年初以来，一场代号为“幽灵谜团行动”的网络攻击在拉丁美洲展开，主要针对巴西用户。俄罗斯网络安全公司Positive Technologies披露，攻击者利用钓鱼邮件诱导用户安装恶意浏览器扩展，已导致包括巴西、哥伦比亚、墨西哥等国在内的722名用户遭感染，涉及70家企业。攻击手法通过伪装发票的邮件传播压缩附件或链接，执行批处理脚本启动PowerShell，最终植入带有远程访问控制功能的恶意扩展，主要锁定Chromium内核浏览器如Chrome、Edge和Brave。一旦安装成功，扩展将监听用户是否访问特定银行网页，并窃取其身份验证令牌，甚至可伪造银行登录界面。攻击者还通过被感染公司邮箱中转，提升攻击可信度。虽然部分恶意扩展已从商店下架，但攻击仍在持续，专家警告用户需提高警觉，特别是在金融类网页操作时。

https://thehackernews.com/2025/06/malicious-browser-extensions-infect-722.html

---

6 微软协助CBI捣毁日本技术支持诈骗案背后的印度呼叫中心

印度中央调查局（CBI）于2025年5月28日展开“Chakra V行动”，联合日本国家警察厅与微软，成功捣毁两个位于德里、哈里亚纳邦和北方邦的非法呼叫中心，逮捕6名涉案人员。这些犯罪团伙冒充微软等跨国公司技术支持，利用社交工程手段欺骗日本民众，谎称其设备遭黑客入侵，从而诱导其转账至“骡子账户”。CBI在19处地点搜查并查获大量电子设备和证据。微软表示，自2024年5月以来，已协助下线约66000个恶意域名和URL，并指出犯罪团伙还使用生成式AI自动创建弹窗、翻译语言、寻找受害者，展现出极强的欺诈规模化能力。此次跨国合作也揭示出整个诈骗生态链条，从搜索引擎优化、引流、支付到技术与人力支持的黑色产业。此案凸显全球打击网络犯罪需多国联合响应，持续推进情报共享与行动协同。

https://thehackernews.com/2025/06/microsoft-helps-cbi-dismantle-indian.html

---