每日安全简讯(20260511)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 JDownloader官网遭入侵投放恶意安装包

研究人员发现JDownloader官方网站于2026年5月6日至7日期间遭攻击者入侵，下载链接被篡改，导致Windows“替代安装器”和Linux shell安装器指向恶意载荷，形成供应链攻击。开发团队表示，攻击者利用一个未修补漏洞，在未获认证的情况下修改了网站CMS中的访问控制列表和页面内容，但未取得底层服务器或操作系统权限。研究人员分析发现，Windows恶意程序会投放经过混淆的Python远控木马，可从C2服务器接收并执行代码；Linux安装脚本则被植入恶意代码，下载伪装文件并释放ELF程序，建立持久化并以系统进程名伪装运行。官方建议用户核验安装包数字签名是否为“AppWork GmbH”；如在受影响时间段下载并运行相关安装器，应重装系统并重置密码。

https://jdownloader.org/incident_8.5.2026.html?v=20260508277000

---

2 恶意HuggingFace仓库冒充OpenAI投递窃密木马

研究人员发现一个名为Open-OSS/privacy-filter的恶意Hugging Face仓库冒充OpenAI“Privacy Filter”项目，曾短暂登上平台热门榜首，并在下架前累计约24.4万次下载。该仓库复制了正版项目说明，并通过loader.py伪装为正常AI代码，实则在Windows系统上关闭SSL验证、下载并执行包含PowerShell命令的载荷，进一步获取批处理文件、提升权限、将恶意程序加入Microsoft Defender排除项，最终投放基于Rust的信息窃取程序。该恶意软件会窃取敏感数据并回传至攻击者控制服务器，同时具备虚拟机、沙箱、调试器检测等反分析能力。研究人员还发现其基础设施与其他恶意仓库及一次npm抢注投毒活动存在重叠。

http://www.hiddenlayer.com/insight/malware-found-in-trending-hugging-face-repository-open-oss-privacy-filter

---

3 新型Linux PamDOORa后门利用PAM模块窃取SSH凭证

网络安全研究人员披露了一个名为PamDOORa的新型Linux 后门的详细信息，该后门由一个名为“darkworm”的威胁行为者在Rehub俄罗斯网络犯罪论坛上以1600美元的价格出售。该后门程序被设计成一个基于可插拔认证模块（PAM）的后渗透工具包，它通过一个特殊的密码和特定的TCP端口组合来实现持久的SSH访问。它还能窃取所有通过受感染系统进行身份验证的合法用户的凭据。这款名为PamDOORa的工具是一种基于PAM的新型后门，旨在作为渗透后后门，通过OpenSSH对服务器进行身份验证。据称，它将在Linux系统 (x86_64) 上保持持久存在。

https://flare.io/learn/resources/blog/pamdoora-new-linux-pam-based-backdoor-sale-dark-web

---

4 IvantiEPMM高危漏洞正遭在野利用

Ivanti Endpoint Manager Mobile（EPMM）中的远程代码执行漏洞CVE-2026-6973已在有限范围内遭到攻击者利用，且可带来管理员级访问权限，风险较高。美国网络安全和基础设施安全局（CISA）已要求相关机构在2026年5月10日前完成修复，进一步提升了该问题的处置紧迫性。现有信息显示，此次利用活动规模尚有限，但由于漏洞影响核心管理系统，一旦被成功利用，可能导致设备管理环境被接管。对于正在使用Ivanti EPMM的组织而言，尽快评估影响范围、部署厂商修复并开展排查十分必要，以降低潜在入侵风险。

https://hub.ivanti.com/s/article/May-2026-Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-Multiple-CVEs?language=en_US

---

5 伪造macOS故障排查页面诱导窃取iCloud数据

研究人员发现一种新的ClickFix攻击正针对macOS用户展开。攻击者在Medium和Craft等平台发布伪造的故障排查指南，利用用户寻求系统问题解决方案的心理，诱导其在终端中执行恶意命令。相关命令会部署AMOS和SHub Stealer等信息窃取恶意程序，从而收集受害者设备上的敏感数据。根据标题信息，此次活动还涉及窃取iCloud相关数据，说明攻击目标可能包括账号凭证、会话信息或云端同步内容。该手法结合了社工诱导与终端执行，绕过传统下载告警，对macOS用户构成现实威胁。

https://hackread.com/fake-macos-troubleshooting-sites-steal-icloud-clickfix/

---

6 cPanel与WHM修复三个高危安全漏洞

The cPanel已发布安全更新，修复cPanel与WHM中的三个新漏洞。其中两项漏洞的CVSS评分为8.8，属于高危级别，可能带来代码执行和权限提升风险。此次补丁旨在降低相关系统被攻击者利用的可能性，减少对服务器管理环境和托管服务的安全威胁。由于这些漏洞影响核心管理组件，使用cPanel和WHM的运维人员与服务提供商应尽快完成更新与补丁部署，并结合现有安全策略开展检查，以降低潜在入侵和系统被控风险。

https://thehackernews.com/2026/05/cpanel-whm-patch-3-new-vulnerabilities.html

---