每日安全简讯(20260512)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客借谷歌广告和Claude聊天传播Mac恶意软件

研究人员发现攻击者正在利用谷歌搜索广告和Claude.ai共享聊天功能，向Mac用户投递恶意软件。用户搜索“Claude mac download”时，可能看到指向真实claude.ai域名的赞助结果，但进入后会遇到伪装成“Apple Support”发布的安装指导，诱导其在终端粘贴命令。研究人员发现，不同共享聊天页面虽使用独立基础设施与载荷，但社会工程话术高度一致。相关脚本可在内存中运行，并通过多态投递规避基于哈希的检测；部分样本还会检查俄语或独联体地区键盘配置、收集外部IP、主机名、系统版本和输入法信息，再下发后续载荷。另一变种被识别为MacSync信息窃取木马，可窃取浏览器凭据、Cookie及macOS钥匙串数据。报道建议用户直接访问Claude官网或官方文档获取软件，不要轻信广告结果或随意执行聊天中提供的终端命令。

https://www.linkedin.com/posts/brkalbyrk7_macsync-ugcPost-7459229553027088384-7UXy/

---

2 黑客诱骗DigiCert签发恶意软件签名证书

DigiCert在发现证书被滥用于恶意软件签名后，已撤销60张代码签名证书。事件起因是攻击者通过恶意支持聊天附件实施欺骗，诱使相关流程签发可用于代码签名的证书，随后这些证书被用于为Zhong Stealer恶意软件进行签名。代码签名证书通常用于验证软件来源和完整性，一旦被攻击者获取并用于恶意程序，可能提升恶意样本的伪装性与可信度，从而增加传播和绕过安全检测的风险。此次事件反映出证书签发与支持流程可能成为攻击目标，也提示企业需要加强审核、附件处理和证书滥用监测能力。

https://hackread.com/hackers-digicert-issue-certificates-sign-malware/

---

3 虚假通话记录应用在Play商店窃取用户付款信息

网络安全研究人员在官方的Google Play安卓应用商店中发现了欺诈性应用程序，这些应用程序谎称可以访问任何电话号码的通话记录，但实际上却是诱骗用户加入订阅服务，而这些订阅服务提供的却是虚假数据，最终导致用户遭受经济损失。这28款应用在被官方应用商店下架前，累计下载量超过730万次，其中一款应用的下载量就超过300万次。这项由斯洛伐克网络安全公司ESET代号为“CallPhantom”的攻击活动，主要针对印度和更广泛的亚太地区的安卓用户。

https://www.welivesecurity.com/en/eset-research/fake-call-logs-real-payments-how-callphantom-tricks-android-users/

---

4 两名美国男子因协助朝鲜黑客渗透美企获刑

Matthew Knoot和Erick Prince因协助朝鲜黑客渗透美国企业，被分别判处18个月监禁。报道指出，两人通过搭建和运营“远程笔记本电脑农场”的方式，为相关人员提供进入美国公司网络环境的条件，从而帮助其隐藏真实身份并实施渗透活动。此案反映出，利用本地设备和远程接入手段掩饰来源、规避审查，已成为针对企业渗透行动中的重要辅助模式。案件结果也显示，美国司法部门正持续打击为朝鲜黑客活动提供支持的个人与网络基础设施。

https://hackread.com/us-men-sentenced-north-korean-hackers-hack-us-firms/

---

5 德国警方再度打掉Crimenetwork平台并逮捕管理员

德国执法部门宣布关闭重启版网络犯罪交易平台Crimenetwork，并在西班牙马略卡逮捕一名35岁德国籍嫌疑人。该平台自2012年起长期活跃，曾是德国最大的网络犯罪市场之一，提供非法服务、违禁品和被盗数据交易。2024年末，德国法兰克福检方、网络犯罪打击中心和联邦刑警局已查封原平台并抓获一名管理员，但数日后其以新基础设施重新上线。警方称，新版本迅速聚集约2.2万名用户和100多名卖家，涉案收入至少达360万欧元。行动中，警方还扣押约19.4万欧元涉嫌非法资产，并获取大量用户和交易数据，以推进后续调查。嫌疑人目前面临德国刑法及毒品法相关指控。

https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2026/Presse2026/260508_PM_Crimenetwork.html?utm_source=BC

---

6 Ollama越界读取漏洞可致远程内存泄露

Ollama在0.17.1之前版本存在一项严重的越界读取漏洞。攻击者可通过构造恶意GGUF文件触发该问题，从而远程读取进程内存内容，造成敏感信息泄露。泄露数据可能包括API密钥等机密信息。报道指出，受影响的暴露服务器规模超过30万台，风险范围较广。该漏洞的核心影响在于模型文件处理过程中发生越界读取，使原本不应被访问的内存内容被返回或暴露。对于正在使用旧版本Ollama并加载来自不可信来源GGUF文件的环境，应尽快升级至0.17.1或更高版本，并审查密钥等敏感凭据是否存在泄露风险。

https://thehackernews.com/2026/05/ollama-out-of-bounds-read-vulnerability.html

---