每日安全简讯(20260509)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 PCPJack蠕虫窃取云凭证并清除TeamPCP感染

研究人员披露新型恶意框架PCPJack正针对暴露在公网的云基础设施发起攻击，主要目标包括Docker、Kubernetes、Redis、MongoDB、RayML及存在漏洞的Web应用。该恶意程序通过bootstrap.sh感染Linux云系统，部署后会创建隐藏目录、安装依赖、下载模块并建立持久化。其突出特征是会主动检查并清除TeamPCP相关进程、服务、容器、文件和持久化机制，从而独占受害主机。研究人员称，PCPJack以大规模窃取凭证为核心，目标涵盖SSH密钥、Slack令牌、WordPress配置及OpenAI、Anthropic等密钥，所得数据经加密后通过Telegram外传。其还会扫描外部云服务、利用已知漏洞传播，并在内网横向移动。

https://www.sentinelone.com/labs/cloud-worm-evicts-teampcp-and-steals-credentials-at-scale/

---

2 基于Mirai的xlabs_v1僵尸网络借ADB劫持物联网设备

研究人员发现名为xlabs_v1的僵尸网络基于Mirai变种，正利用Android Debug Bridge（ADB）默认使用的5555端口入侵并招募物联网设备，将其纳入攻击基础设施。该恶意网络在控制受感染设备后，可发起多达21种DDoS攻击方式，并支持按照带宽层级组织攻击资源。报道指出，其主要用途之一是针对游戏服务器实施分布式拒绝服务攻击，以提升攻击效率和持续性。现有信息表明，这一活动凸显了暴露ADB服务的物联网设备面临的安全风险，尤其是在调试接口未妥善关闭或限制访问的情况下，更容易被攻击者接管并用于大规模网络攻击。

https://hunt.io/blog/xlabs-v1-ddos-for-hire-operation-exposed#Infrastructure_Analysis

---

3 恶意PyPI包借助Zulip接口传播ZiChatBot木马

2025年7月有3个上传至PyPI的软件包被用于传播ZiChatBot恶意程序，攻击目标涵盖Windows和Linux系统。该恶意代码的一项关键特征是将Zulip的API用作命令与控制（C2）通道，从而借助正常网络服务掩护通信行为，提升隐蔽性并增加检测难度。此事件再次表明，开源软件仓库供应链正持续成为攻击者投放恶意载荷的重要渠道。对于开发者和企业而言，应加强对第三方依赖包的来源审查、版本变更监控与安装前检测，降低因引入恶意包而导致系统受害的风险。

https://securelist.com/oceanlotus-suspected-pypi-zichatbot-campaign/119603/

---

4 vm2严重沙箱逃逸漏洞可致主机执行任意代码

Node.js沙箱库vm2被披露存在严重漏洞CVE-2026-26956，可导致攻击者逃逸沙箱并在宿主机上执行任意代码。该问题已确认影响vm2 3.10.4，较早版本也可能受影响，且公开了概念验证代码。通告称，漏洞影响启用了WebAssembly异常处理和JSTag支持的Node.js 25环境，已在Node.js 25.6.1上确认。漏洞根因是vm2在处理沙箱与宿主环境之间的异常时存在缺陷，攻击者可借此让宿主侧错误对象泄露回沙箱，并进一步恢复对process等Node.js内部对象的访问，最终实现命令执行。建议用户尽快升级至3.10.5或更高版本。

https://github.com/patriksimek/vm2/security/advisories/GHSA-ffh4-j6h5-pg66

---

5 PaloAltoPAN-OS漏洞正被利用致远程执行

Palo Alto Networks的PAN-OS出现编号为CVE-2026-0300的安全漏洞，攻击者可通过暴露在公网的PAN-OS门户发起利用，在目标防火墙设备上实现以root权限执行任意代码。信息显示，该漏洞在2026年5月13日补丁发布前就已被实际利用，说明其具有较高现实威胁。现有内容指出，受影响场景与公开可访问的 PAN-OS门户有关，但未提供更多技术细节、影响版本范围或攻击链说明。

https://security.paloaltonetworks.com/CVE-2026-0300

---

6 Apache修复可致拒绝服务与潜在RCE的HTTP/2漏洞

Apache已修复HTTP/2组件中的严重漏洞CVE-2026-23918。该漏洞被描述为双重释放问题，可能被攻击者利用，导致目标服务发生拒绝服务，并存在进一步实现远程代码执行（RCE）的潜在风险。受影响对象为Apache HTTP Server 2.4.66版本用户。根据披露信息，此次问题集中在HTTP/2相关处理逻辑，说明在特定条件下内存管理缺陷可能被触发，从而影响服务稳定性与安全性。

https://httpd.apache.org/docs/current/mod/mod_http2.html

---