每日安全简讯(20260519)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Tycoon2FA新增设备码钓鱼劫持微软账户

研究人员发现曾在3月遭国际执法行动打击的钓鱼平台Tycoon2FA已在新基础设施上恢复运行，并新增“设备码钓鱼”能力，目标指向Microsoft 365账户。研究人员发现，攻击者通过带有Trustifi点击跟踪链接的发票主题邮件，将受害者经由Trustifi、Cloudflare Workers及多层混淆脚本引导至伪造页面，再诱导其在微软合法的microsoft.com/devicelogin页面输入设备码并完成多因素认证。此举会使攻击者控制的设备获得OAuth访问和刷新令牌，从而访问邮箱、日历和云存储等数据。eSentire称，该工具包还具备较强反分析能力，可识别自动化测试、代理、安全厂商及沙箱环境。建议企业在非必要时禁用设备码流程，收紧OAuth同意权限，并监控相关Entra认证日志。

https://www.esentire.com/blog/tycoon-2fa-operators-adopt-oauth-device-code-phishing

---

2 诈骗者寄送假信件诱骗Ledger用户泄露助记词

意大利有诈骗者通过邮寄实体钓鱼信件，冒充Ledger相关通知，诱导加密钱包用户泄露助记词。信件中包含二维码，收件人扫码后可能被引导至伪造页面，并被要求输入钱包恢复所需的seed phrase。一旦助记词泄露，攻击者即可控制受害者钱包中的加密资产。该事件表明，针对加密货币用户的钓鱼手法已从电子邮件等线上渠道扩展到线下邮寄场景，用户需对涉及助记词、恢复短语等敏感信息的任何请求保持警惕。

https://support.ledger.com/zh-CN/article/scams-targeting-crypto-holders

---

3 Grafana称源代码被盗后拒绝勒索要求

Grafana表示，攻击者通过获取其GitHub令牌后访问了公司代码库，并窃取了部分源代码。公司称，在发现事件后已采取应对措施，并明确表示拒绝了对方提出的勒索要求。根据目前披露的信息，此次事件影响范围主要限于源代码层面，未波及客户数据，也没有证据表明其生产系统或客户环境受到影响。该事件再次凸显了代码托管平台访问凭证的重要性，以及企业在令牌管理、权限控制和事件响应方面面临的安全挑战。

https://hackread.com/grafana-source-code-theft-rejected-ransom-demand/

---

4 思科SD-WAN控制器认证绕过漏洞正遭利用

思科Catalyst SD-WAN Controller中一处认证绕过漏洞正被活跃利用。该漏洞编号为CVE-2026-20182，攻击者可通过设备上的DTLS 12346端口绕过身份验证，进而获得管理员级访问权限。根据已披露信息，相关利用活动发生在2026年5月之后，表明该漏洞已从安全风险演变为现实攻击面。报道指出，该问题影响思科SD-WAN控制器的访问控制机制，可能导致未授权人员接管管理功能。现有信息重点说明了漏洞利用方式、涉及端口以及攻击后果，但未在给定内容中进一步展开受影响版本、修复方案或入侵规模等细节。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa2-v69WY2SW

---

5 PraisonAI认证绕过漏洞披露后迅速遭定向利用

PraisonAI的一个认证绕过漏洞（CVE-2026-44338）在5月11日公开披露后不久即被攻击者关注并利用。该漏洞会暴露/agents接口，使未授权访问成为可能。根据文中信息，从漏洞披露到出现针对该漏洞的利用探测，仅间隔约3小时44分钟，显示出攻击者对新披露高风险漏洞的响应速度极快。现有内容主要说明了受影响接口、漏洞类型以及被尝试利用的时间窗口，未进一步披露更详细的技术成因、影响范围或攻击后果。整体来看，此事件再次反映出公开披露后的短时间内即可能出现实战化探测与攻击活动。

https://github.com/advisories/GHSA-6rmh-7xcm-cpxj

---

6 FunnelBuilder漏洞致四万余商店结账数据被窃

WooCommerce相关插件Funnel Builder存在一个已被攻击者利用的安全漏洞，影响超过4万家在线商店。攻击者借助该缺陷在受影响站点中植入伪造的Google Tag Manager（GTM）代码，从而在用户结账过程中窃取支付信息，形成典型的结账页面信用卡盗刷链路。报道指出，相关风险在修复版本3.15.0.3发布前尤为突出，未及时更新的商店面临较高暴露风险。该事件再次表明，电商站点插件一旦存在漏洞，可能直接危及支付数据安全，运营方应尽快完成补丁更新并排查是否存在异常脚本植入。

https://sansec.io/research/funnelkit-woocommerce-vulnerability-exploited

---