每日安全简讯(20250805)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 东南亚电信遭国家级黑客组织间谍攻击

Palo Alto Networks近日披露，东南亚多家电信组织在2024年2月至11月期间遭到代号为CL-STA-0969的国家级黑客组织长期渗透。该组织部署多种远程访问工具，并使用名为Cordscan的恶意软件收集移动设备位置信息。尽管未发现明确的数据外泄证据，但攻击者展现出高水平的操作安全和防御规避能力。CL-STA-0969被认为与中国背景的间谍团伙“Liminal Panda”高度相关，后者自2020年以来持续针对亚洲与非洲的电信行业开展情报收集活动。研究人员还指出，该组织的工具与LightBasin、UNC1945、UNC2891等多个已知攻击集群存在重叠，显示出攻击链条间复杂的关联性。

https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/

---

2 Storm-2603利用DNS后门投放双重勒索软件

Check Point Research披露，Storm-2603攻击团伙近期利用Microsoft SharePoint漏洞（CVE-2025-49706与49704）部署自研AK47 C2框架，并投放Warlock与LockBit Black双重勒索软件。该框架通过HTTP和DNS通信实现对受害主机的远程控制，后门“dnsclient.exe”借助伪造域名实现隐秘通信。调查发现，Storm-2603自2025年3月起活跃于拉美与亚太地区，攻击中还使用了7-Zip与clink程序侧载恶意DLL，以及通过BYOVD技术终止防病毒软件。该组织同时利用Web Shell与多种开源工具发起攻击，展现出成熟的武器库与高隐蔽性。

https://research.checkpoint.com/2025/before-toolshell-exploring-storm-2603s-previous-ransomware-operations/

---

3 AI生成的恶意npm包可盗走Solana资金

安全公司Safety曝光一个AI生成的恶意npm包“@kodane/patch-manager”，该包伪装成Node.js工具组件，实则暗藏“隐蔽钱包掠夺器”，已在下架前被下载超过1500次。攻击者利用npm的postinstall脚本机制，在用户安装后自动部署恶意代码至多平台隐藏目录，并连接C2服务器获取主机ID。恶意代码会扫描系统中的Solana钱包文件，并将全部资金转至预设地址。分析指出，该恶意包可能由Claude AI生成，其注释风格、README文档与Claude惯用模式高度一致。该事件凸显出AI助力攻击者生成更具迷惑性与杀伤力的开源供应链恶意代码。

https://getsafety.com/blog-posts/threat-actor-uses-ai-to-create-a-better-crypto-wallet-drainer

---

4 新型Plague后门潜伏Linux系统窃密

安全研究人员近日揭露名为“Plague”的新型Linux后门，该恶意PAM模块已隐匿存在系统中长达一年。Plague通过篡改Pluggable Authentication Module认证机制，实现绕过身份验证、窃取凭据及长期SSH隐秘访问。其功能包括使用静态凭证、抗调试与混淆技术、防止命令日志记录，并通过清除SSH环境变量来掩盖入侵痕迹。多份样本自2024年7月以来被上传至VirusTotal，均未被反病毒引擎识别，表明其仍在持续开发中。研究指出，该后门深入Linux认证流程，能在系统更新后继续生效，几乎不留取证线索，极具隐蔽性与威胁性。

https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/

---

5 攻击者利用LNK快捷方式投放REMCOS远控木马

安全公司Point Wild揭露一项多阶段攻击活动，攻击者利用伪装的Windows快捷方式（LNK文件）部署REMCOS远控木马。此次攻击由Lat61情报团队发现，首个诱饵文件名为“ORDINE-DI-ACQUIST-7263535”，通过PowerShell隐蔽执行恶意命令，无需宏或文件存储，即可下载Base64编码的有效载荷。该载荷随后以伪装成“CHROME.PIF”的可执行文件运行，完成REMCOS后门安装。木马不仅允许远程完全控制受害设备，还在%ProgramData%目录下创建日志文件以记录键盘操作，实现持久驻留。该攻击链高度隐蔽，具备较强绕过检测能力。

https://www.pointwild.com/threat-intelligence/trojan-winlnk-powershell-runner

---

6 Cursor代码编辑器修复高危RCE漏洞

安全研究人员披露，AI代码编辑器Cursor曾存在高危远程代码执行漏洞CVE-2025-54135（CVSS 8.6），现已在7月29日发布的1.3版本中修复。该漏洞允许攻击者通过外部托管的提示注入操控MCP配置文件（mcp.json），并执行恶意命令。由于Cursor运行于开发者权限下，漏洞一旦被利用，攻击者可实现数据窃取、勒索软件植入、AI模型误导等多种恶意操作。漏洞原理类似早前披露的EchoLeak，均与MCP服务器可加载不受信任数据相关。研究指出，该漏洞甚至可通过Slack消息注入触发，危害极大。此次事件凸显AI辅助开发工具中MCP机制的潜在安全隐患。

https://www.aim.security/lp/aim-labs-curxecute-blogpost

---