每日安全简讯(20250511)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 APT35组织伪造德国模特经纪网站窃取用户指纹数据

由伊朗支持的黑客组织APT35伪造了德国模特经纪公司的官方网站，并借助高仿的钓鱼网站开展精准网络间谍活动。具体而言，该钓鱼网站会动态加载恶意JavaScript代码。当访问者进入网站时，这些代码便会发挥作用，收集访问者的浏览器配置信息、屏幕分辨率、本地及公网IP地址（其中公网IP地址的获取利用了WebRTC漏洞），还会收集设备指纹。此外，攻击者利用Canvas指纹技术为每个设备生成唯一的标识。随后，他们将IP地址与浏览器指纹相结合，构建出受害者的详细画像，以便后续开展定向攻击。

https://cybersecuritynews.com/iranian-hackers-impersonate-as-model-agency/

---

2 APT组织WaterPlum对所使用的OtterCookie窃密木马升级了跨平台能力

自2024年9月以来APT组织WaterPlum所使用的OtterCookie窃密木马已经历多次升级迭代。近日，研究人员发现该窃密木马已进化至第4版，具备强大的跨平台特性，可适配Windows、macOS和Linux等多种主流操作系统环境。OtterCookie窃密木马第4版新增了凭证窃取功能，该功能主要用于窃密浏览器凭证和加密货币钱包。其内置了专门的窃取模块，能够利用Windows数据保护API，对存储在Google Chrome中的密码进行解密。此外，该木马还配备了另一个窃取模块，专门负责收集来自Google Chrome、Brave浏览器以及MetaMask加密货币钱包扩展的加密凭证数据。

https://cybersecuritynews.com/ottercookie-malware-upgraded-with-new-features/

---

3 恶意npm包伪装开发工具窃取macOS Cursor IDE用户权限

研究人员发现一起针对macOS Cursor IDE用户的恶意攻击活动。攻击者通过伪装成开发工具的恶意npm包实施攻击，用于窃取用户凭据并修改文件，从而获得持久的后门访问权限。在本次活动中，研究人员共发现三个恶意npm包。这些包的目标锁定为macOS版的热门Cursor AI代码编辑器。它们伪装成提供Cursor API的开发者工具，诱导用户进行安装使用。一旦用户安装并使用这些npm包，攻击者的恶意行为便会启动。它们会窃取用户凭证，从攻击者控制的命令与控制（C2）地址中获取加密载荷，随后覆盖Cursor的main.js文件，并禁用自动更新功能，以此维持其在系统中的持久性。经调查，这些恶意软件包由一名威胁行为者使用npm别名gtr2018和aiide发布。截至发现时，这些npm包已被下载超过3200次。

https://socket.dev/blog/malicious-npm-packages-hijack-cursor-editor-on-macos?&web_view=true

---

4 DOGE Big Balls勒索软件使用开源工具和自定义脚本感染受害者系统

近期，一种基于Fog勒索软件修改而成的新型勒索软件“DOGE Big Balls”现身。该勒索软件采用自定义开发的PowerShell脚本以及开源工具，对受害者系统展开破坏行动。该勒索软件的载荷文件和勒索信息中包含政治声明、公众人物相关引用以及YouTube视频链接。这些特殊内容暗示着攻击背后或许存在意识形态动机。一旦攻击者成功渗透进入受害者内网，该勒索软件便会迅速启动复杂的攻击链，逐步建立持久性，接着窃取重要凭证，为进一步行动获取关键权限，随后进行横向移动，扩大攻击范围，最终对受害者数据进行加密，以此达到勒索钱财的目的。

https://cybersecuritynews.com/new-doge-big-balls-ransomware-using-open-source-tools-custom-scripts/

---

5 攻击者通过SmokeLoader加载器和NETXLOADER加载器传播Agenda勒索软件

自2022年7月被发现以来，Agenda勒索软件组织持续演变并不断增强其攻击能力。近期，研究人员发现该组织正利用SmokeLoader加载器和NETXLOADER加载器来传播Agenda勒索软件。据相关调研，在2025年第一季度，该组织主要针对美国、荷兰、巴西、印度和菲律宾等国的医疗保健、技术、金融服务和电信行业发起攻击并进行勒索。

https://www.trendmicro.com/en_no/research/25/e/agenda-ransomware-group-adds-smokeloader-and-netxloader-to-their.html?&web_view=true

---

6 美荷联合执法端掉7000台IoT设备组成的代理僵尸网络

美国与荷兰执法部门联合开展了代号为“Operation Moonlander”的行动，成功摧毁了一个由7000台感染设备（包括物联网设备及已到生命周期（EoL）的系统）构成的代理僵尸网络。该僵尸网络依赖恶意软件TheMoon感染设备，它通过扫描开放端口并利用未修补的漏洞进行传播。此僵尸网络通过anyproxy.net和5socks.net进行运营，为黑客提供匿名代理服务，订阅费用为每月9.95美元至110美元不等，攻击者通过该网络累计非法获利超4600万美元。黑客支付加密货币后，可获取代理IP和端口，并利用这些信息匿名实施DDoS攻击、数据窃取等犯罪活动。在这次联合执法行动中，4名俄罗斯籍和哈萨克斯坦籍嫌疑人被起诉，美国联邦调查局（FBI）查封了9个相关域名，并缴获了价值3.05万美元的加密货币钱包及相关设备。

https://thehackernews.com/2025/05/breaking-7000-device-proxy-botnet-using.html

---