每日安全简讯(20260501)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Bluekit钓鱼工具包借AiTM绕过多因素认证

研究人员近日发现一款名为Bluekit的新型AI驱动网络钓鱼工具包，该工具包将传统分散的钓鱼攻击流程整合为一体化平台。Bluekit提供超过40个网站模板，涵盖iCloud、Gmail、GitHub、Twitter等主流服务，并集成自动域名注册、双因素认证绕过、地理位置模拟、反机器人伪装等功能，内置Telegram作为默认数据泄露渠道。其AI助手支持Llama、GPT-4.1、Claude等多种模型，可生成钓鱼活动框架，但目前输出仍依赖大量占位符，尚未达到"一键生成"的自动化水平。研究人员指出，该工具包处于积极开发阶段，更新迭代速度极快，若持续发展并扩大用户群，未来可能对网络安全构成更大威胁。

https://www.varonis.com/blog/bluekit

---

2 TeamPCP供应链攻击波及SAP相关npm包

研究团队披露一起疑似供应链攻击事件，该事件与TeamPCP相关，波及SAP云应用编程模型（CAP）及Cloud MTA生态的4个npm包，分别为mbt@1.2.48、@cap-js/db-service@2.10.1等。受影响版本被注入预安装脚本，会下载并执行未经验证的Bun二进制文件，窃取开发者及CI/CD环境中的各类凭据，还会通过GitHub仓库外泄数据并自我传播。据悉，这些包每周总下载量超57万，潜在影响范围广泛。目前受影响版本已被取消发布。

https://socket.dev/blog/sap-cap-npm-packages-supply-chain-attack

---

3 CursorAI隐藏Git钩子漏洞可致代码执行

安全研究人员披露，Cursor AI IDE存在高危漏洞，编号为CVE-2026-26268。根据报道，该问题与隐藏的Git hooks有关，攻击者可通过构造恶意代码仓库，在开发者克隆仓库后触发恶意代码执行。该漏洞的风险在于利用场景贴近日常开发流程，用户在正常获取项目代码时即可能中招，从而使本地开发环境面临被植入恶意程序或执行未授权操作的威胁。该漏洞目前尚未披露更具体的技术细节、受影响版本范围及修复进展。

https://hackread.com/cursor-ai-ide-vulnerability-code-execution-git-hooks/

---

4 美国驻巴林士兵收到黑客组织Handala威胁信息

近日驻巴林的美国军人收到署名为Handala黑客组织的WhatsApp威胁信息，称其身份已被掌握、正被监视且成为导弹和无人机打击目标，来电号码疑似被伪造。次日，该组织在Telegram发帖称，已泄露2379名驻波斯湾美国海军陆战队员个人信息。据悉，Handala成立于2023年12月，与伊朗情报部（MOIS）关联，别名包括虚空蝎尾狮、风暴-0842等，其行动以情报收集和心理威慑为主。该组织自2026年初升级攻击规模，先后攻击医疗器械公司、入侵FBI局长邮箱，此次直接针对美国驻巴林士兵，进一步扩大了攻击范围。

https://socradar.io/blog/handala-hack-us-doxxing-troop-bahrain/

---

5 大规模短信诈骗活动在全球多国蔓延

研究人员披露自2025年12月起持续追踪的大规模短信诈骗活动"道路陷阱行动"。该活动已波及美国、加拿大、英国、澳大利亚、印度等12个国家，累计发送超7.9万条欺诈短信，涉及3.19万个不同恶意URL。诈骗分子冒充各国交通管理部门、收费公路运营商及停车服务机构，以未缴通行费、停车罚单或交通罚款为由，通过伪造发件人ID、短代码发送及URL缩短技术诱导受害者点击链接。该恶意软件通过Telegram实时回传设备信息、短信内容及银行验证码，并利用Firebase实现远程命令控制，具备短信拦截、呼叫转移等高级功能。研究人员指出，此类活动虽呈现组织化特征，但尚未归因于特定威胁组织。

https://www.bitdefender.com/en-us/blog/labs/operation-road-trap

---

6 国际联合执法行动重创加密货币诈骗中心

近日由迪拜当局牵头、美国FBI及国际合作伙伴支持的联合执法行动，成功捣毁一个跨国加密货币诈骗中心网络，在中东和东南亚地区逮捕至少276人，联邦政府已对该诈骗网络的招聘人员和管理人员提起诉讼。据悉，此次行动是美国协助开展的规模最大的跨国网络诈骗打击行动之一，涉案诈骗中心关联Ko Thet公司等实体，这些诈骗中心自2024年起通过社交工程手段，伪装身份诱骗受害者在虚假平台投资，涉案资金通过加密货币账户快速转移。

https://www.govinfosecurity.com/fbi-backed-takedown-hits-crypto-scam-centers-a-31551

---