每日安全简讯(20260621)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜UNK_DeadDrop攻击活动冒充开发者工具传播木马

安全研究人员披露，朝鲜相关攻击活动UNK_DeadDrop以招聘开发人员、代码审查和技术项目为主题，对金融、加密货币、教育、科技等行业近100家机构发起钓鱼攻击。已披露信息显示，攻击邮件包含指向攻击者控制GitHub存储库的链接，这些存储库伪装成技术作业或加密货币项目，诱导目标克隆代码并在VS Code或Cursor中打开。相关项目采用“runOn: folderOpen”方式，在打开代码编辑器时触发恶意代码执行。攻击链会安装伪装成合法Google服务的恶意VS Code扩展，并在macOS、Linux和Windows系统上执行载荷，目标包括浏览器钱包扩展、凭据和桌面钱包应用数据。

https://www.proofpoint.com/us/blog/threat-insight/dont-fear-repo-unkdeaddrop-phishing-campaign-targets-developers-steal

---

2 JetBrains恶意AI编码助手插件窃取API密钥

安全研究人员披露，JetBrains Marketplace上出现至少15个恶意插件，伪装成基于DeepSeek和其他大型语言模型的AI编码助手，提供聊天、提交信息、代码审查、漏洞查找和单元测试等功能。已披露信息显示，相关活动至少自2025年10月底以来持续，最近一次新插件发布于2026年6月10日，其中CodeGPT AI Assistant和DeepSeek AI Assist两个插件下载量均超过25000次，但下载量真实性尚不明确。所有插件共享类似代码库，要求用户在设置面板输入OpenAI、SiliconFlow或DeepSeek等AI服务的API密钥。插件功能可按宣传运行，但会通过HTTP请求将用户提供的API密钥以明文形式发送至攻击者控制服务器。另有两款Chrome广告拦截扩展被发现可截取用户与多种AI聊天机器人的对话。

https://www.aikido.dev/blog/multiple-jetbrains-ide-plugins-caught-stealing-ai-keys

---

3 诺丁汉大学网络入侵事件泄露数据影响45万名学生

诺丁汉大学确认其学生记录系统遭黑客组织入侵，大量数据被窃取，影响在校学生和校友。已披露信息显示，该校已将事件报告给英国信息专员办公室，并与维护相关平台的第三方公司开展取证调查。ShinyHunters勒索团伙声称对事件负责，并发布部分据称被盗文件作为证明。该组织声称从诺丁汉大学及其马来西亚和中国校区窃取超过40GB文件，内容涉及学生财务数据、账单和支付信息、信用卡和支付详情以及校园门户导出数据。数据泄露通知服务称，事件影响454600名前任和现任学生，包含电子邮件地址、姓名、地址、电话、种族、残疾情况、护照号码及学业注册和学费支付相关信息。

https://www.bleepingcomputer.com/news/security/nottingham-university-data-breach-affects-over-450-000-students/

---

4 GitHub宣布增强npm安装安全应对供应链攻击

GitHub宣布，预计下月发布的npm v12将引入多项安全变更，以限制供应链攻击中常被滥用的npm install行为。已披露信息显示，从版本12开始，除非明确批准，npm install将不再运行依赖项中的preinstall、install或postinstall脚本，也不再默认执行node-gyp触发的原生模块构建，或Git、本地文件和链接依赖项中的prepare脚本。除非明确允许，npm install也不会从Git仓库或远程URL解析依赖项。相关变化旨在减少依赖安装阶段的自动代码执行、Git依赖滥用和远程URL依赖解析风险。GitHub表示，npm 11.16.0及更高版本会在相关行为将于v12出错时显示警告。

https://github.blog/changelog/2026-06-09-upcoming-breaking-changes-for-npm-v12/

---

5 SoFi香港子公司第三方数据库遭未授权访问

SoFi香港确认发生第三方数据泄露事件，攻击者未经授权访问了包含客户信息的供应商数据库。已披露信息显示，SoFi于2026年4月30日发现事件，涉事数据库属于SoFi Securities (Hong Kong) Limited，并由一家第三方供应商相关环境承载。公司表示调查仍在进行中，目前尚不清楚哪些具体数据可能受到影响，也未披露受影响客户数量、涉事供应商身份或是否存在勒索情况。SoFi称已对受影响账户增加额外安全保障和监控措施，并可能在客户联系支持或更改账户时要求额外验证。

https://www.bleepingcomputer.com/news/security/sofi-confirms-third-party-data-breach-at-hong-kong-subsidiary/

---

6 Microsoft365 Copilot存在漏洞可泄露邮件和文件

安全研究人员披露，Microsoft365 Copilot存在名为SearchLeak的一键式数据泄露路径，攻击者可通过受信任的microsoft.com链接，从企业搜索中提取电子邮件、日历详情和索引文件。已披露信息显示，该问题被标记为CVE-2026-42824，并已在后端修复。攻击链由三个漏洞组成：Copilot企业搜索URL中的q参数可被解释为指令，响应流渲染过程中可在防护代码包裹输出前触发图片请求，内容安全策略又允许访问Bing域名，使Bing图片搜索端点成为数据外泄代理。该概念验证不需要密码或二次点击，只需目标点击链接即可触发。

https://www.varonis.com/blog/searchleak

---