每日安全简讯(20260515)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 伊朗黑客组织入侵韩国大型电子制造商

研究人员披露，与伊朗有关的黑客组织MuddyWater（又名Seedworm、Static Kitten）近期发起大范围网络间谍活动，目标覆盖多个国家和行业，其中包括一家韩国大型电子制造商、政府机构、中东一座国际机场、亚洲工业企业及教育机构。研究人员称，攻击者于2026年2月20日至27日在该韩国企业网络内活动约一周，疑似以情报搜集为导向，重点关注工业与知识产权窃取、政府间谍活动及获取下游客户或企业网络访问权限。此次行动大量使用DLL侧加载、PowerShell和Node.js加载器，并借助伪造Windows提示、注册表配置单元窃取、Kerberos票据滥用等方式获取凭证，还通过公开文件共享服务sendit.sh实施数据外传，以降低异常流量暴露风险。

https://www.security.com/threat-intelligence/iran-seedworm-electronics

---

2 伪装援助文件的间谍软件行动曝光

研究人员披露了一起名为“Operation HumanitarianBait”的网络攻击活动。该行动利用伪造的人道主义援助相关文档作为诱饵，面向俄语用户实施定向攻击。攻击链中，恶意载荷托管在GitHub平台，受害者在接触并打开相关诱饵文件后，可能进一步下载并执行后续程序。最终载荷为基于Python开发的间谍软件，说明攻击者具备利用常见开发语言和公开平台隐藏恶意活动的能力。现有信息表明，这是一场结合社会工程、远程托管载荷与信息窃取能力的攻击行动，重点在于借助援助主题提升诱骗成功率，并针对特定语言群体展开投放。

https://cyble.com/blog/operation-humanitarianbait-infostealer-campaign/

---

3 新型TrickMo借助TON实现隐蔽控制

研究人员发现TrickMo安卓银行木马出现新变种，其一项关键变化是利用TON区块链基础设施进行隐蔽的命令与控制（C2）通信。按照披露信息，这种做法意在提升攻击活动的隐匿性，降低传统网络层面检测与拦截的效果。标题同时提到，该变种还结合SOCKS5能力，将受感染的安卓设备转化为网络代理支点，以便为后续流量转发或间接访问提供条件。现有内容重点说明了其通信与代理机制的变化，表明移动端银行木马正持续演进，并尝试借助去中心化基础设施增强生存与对抗分析能力。

https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app

---

4 RubyGems因恶意包攻击暂停新用户注册

RubyGems因遭遇大规模恶意软件包上传事件，已暂停新用户注册。公开信息显示，此次攻击涉及数百个恶意包，被认为进一步加剧了软件供应链安全风险。RubyGems作为Ruby生态的重要软件包仓库，此类事件可能影响开发者对第三方依赖的获取与信任，也反映出开源包管理平台在账号注册、包审核和恶意内容拦截方面面临持续压力。目前已知信息主要集中在平台采取的应急措施以及攻击规模，原文未披露更详细的技术细节、影响范围或攻击者身份。

https://thehackernews.com/2026/05/rubygems-suspends-new-signups-after.html

---

5 富士康确认北美工厂遭氮气勒索软件攻击

富士康向媒体证实，其北美部分工厂遭遇网络攻击，事件发生后公司已启动应急响应机制，并采取多项运营措施以保障生产和交付连续性，受影响工厂目前正逐步恢复正常生产。此次攻击被“氮气”勒索软件组织认领，该组织声称窃取了约8TB数据和超过1100万份文件，内容涉及机密指令、项目资料和图纸，并提及苹果、英特尔、谷歌、英伟达和AMD等客户。公开信息显示，Nitrogen最早于2023年出现，先与BlackCat/ALPHV载荷有关，后基于泄露的Conti 2代码发展出自有勒索软件。富士康过去也曾多次遭遇勒索软件事件。

https://www.bleepingcomputer.com/news/security/electronics-giant-foxconn-confirms-cyberattack-on-north-american-factories/

---

6 西氏医药披露遭遇数据窃取与系统加密攻击

美国制药制造企业West Pharmaceutical Services披露，其遭遇一起重大网络安全事件，攻击者不仅从公司网络中窃取了部分数据，还加密了若干系统。公司称于2026年5月4日首次发现入侵，并在5月7日确认事件具有重大影响，随后启动事件响应流程，包括在全球范围内主动下线部分系统、通知执法部门，并聘请外部网络取证专家及Palo Alto Networks Unit 42协助调查、遏制与恢复。此次事件已对公司全球业务运营造成干扰。西氏医药表示，支持发货和生产的核心企业系统已恢复，制造业务也已部分重启，但全部系统尚未完全恢复，最终恢复时间和财务影响仍未明确。公司同时称已采取措施降低被窃数据扩散风险，但未说明具体细节。

https://www.bleepingcomputer.com/news/security/west-pharmaceutical-says-hackers-stole-data-encrypted-systems/

---