每日安全简讯(20260531)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 朝鲜Lazarus组织部署无文件RAT实施长期渗透

安全研究机构披露朝鲜知名APT组织Lazarus更新攻击武器体系，推出全新三阶段无文件远程控制木马RemotePE，凭借纯内存执行特性实现极致隐蔽的长期潜伏攻击。该组织依托Telegram平台开展精准社工钓鱼，伪造Calendly办公域名制作虚假诱导链接，欺骗政企人员点击触发恶意加载流程。整套攻击链路包含多级加载模块，可自动完成数据解密、系统安全防护钩子禁用、操作日志清理等操作，全程无文件落地，磁盘无任何入侵痕迹，极大增加溯源取证与安全检测难度。攻击者操作时段集中在UTC+9时区，木马具备完整的文件管控、进程调度、数据多次覆写销毁能力，主要瞄准金融机构、Web3企业等高价值目标实施窃密渗透，是当前政企网络重点防范的高危无文件威胁。

https://securityaffairs.com/192666/apt/lazarus-apt-unveils-fileless-remote-access-trojan-designed-to-evade-detection.html

---

2 MuddyWater组织发动针对性攻击破坏美国地铁系统

以色列一家网络安全公司确认今年3月美国洛杉矶地铁支付系统入侵事件，为APT组织MuddyWater主导的针对性网络破坏活动。攻击者结合自动化渗透工具与AI脚本简化攻击流程，高效突破基建系统防护体系，入侵后不仅窃取700GB包含办公邮件、系统备份在内的核心敏感数据，还恶意删除虚拟机、格式化磁盘，彻底破坏系统业务环境，直接导致地铁乘车卡充值服务全面瘫痪。该组织长期聚焦全球交通、能源、建筑等关键基础设施，此前多次袭击美国铁路、中东基建企业，惯用数据窃取结合系统销毁的破坏性攻击手法。AI赋能大幅降低其攻击门槛，持续对全球关键基础设施安全造成严峻威胁。

https://www.govinfosecurity.com/la-metro-hack-was-part-iran-linked-campaign-a-31781

---

3 Linux恶意软件Showboat持续渗透电信行业

安全厂商曝光一款名为Showboat的模块化Linux恶意后门，该威胁自2022年持续活跃，长期将全球电信运营商、网络关键基础设施作为核心攻击目标，隐蔽性极强。该恶意软件集成远程命令执行、批量文件传输、Socks5代理隧道等多功能模块，通过篡改系统底层库文件隐藏自身进程，有效规避常规终端安全软件与服务器监测工具扫描。其配置文件采用固定密钥异或加密存储，运行后自动采集主机信息、进程列表、系统截图等核心数据，伪装成图片文件加密回传至攻击者C2服务器。攻击者仿冒东南亚通信品牌搭建域名、伪装正规业务流量，长期潜伏在无完善EDR防护的Linux边缘设备中，可数年不被察觉，持续窃取通信数据、非法控制基础设施，严重威胁区域网络运行安全。

https://securityonline.info/showboat-linux-malware-telecom-threat/

---

4 攻击者利用开源平台传播DinDoor远控木马

黑客恶意滥用GitHub、SourceForge两大权威开源平台，批量分发携带DinDoor远控木马的虚假软件安装包。攻击者精准瞄准技术开发者群体，伪造ChatGPT、Claude等热门AI工具安装程序，搭配YouTube引流视频制造正规假象，诱导用户复制执行恶意系统命令。恶意脚本会自动部署Deno运行环境，植入无文件后门程序，可静默窃取浏览器账号凭证、加密货币钱包数据、社交聊天记录等敏感信息，同时支持远程屏幕监控、WebSocket隐蔽通信。攻击者通过频繁注册新账号、轮换恶意仓库规避平台清理，依托开源社区公信力降低用户警惕，目前已有大量开发者终端沦陷，引发大范围数据泄露风险。

https://www.malwarebytes.com/blog/threat-intel/2026/05/fake-software-on-github-and-sourceforge-distribute-deno-rat

---

5 研究人员发现一起Go语言开源生态潜伏式供应链攻击

安全团队曝光一起跨度长达六年的Go语言开源生态潜伏式供应链攻击，攻击者利用形近包名伪造组件shopsprint/decimal，长期伪装正规开源工具规避监测。该恶意组件前期数年仅推送无害代码迷惑开发者，积累全网覆盖率与信任度，直至2023年正式植入恶意后门逻辑，开启规模化攻击。其后门采用隐蔽DNS通信机制，每五分钟向远程服务器发起DNS查询，通过解析TXT记录接收攻击者指令，可随时执行任意系统代码，窃取服务器权限、CI/CD密钥等核心资产。由于恶意包被公共Go代理缓存，即便原仓库删除仍持续扩散，广泛影响金融、科技、区块链行业项目，暴露开源组件长期潜伏攻击的重大安全隐患。

https://securityonline.info/malicious-go-module-backdoor-discovered/

---

6 CISA要求联邦政府在4天内修复已被积极利用的cPanel插件漏洞

美国CISA发布最高级别安全预警，通报LiteSpeed cPanel插件存在高危权限提升漏洞（CVE-2026-48172），该漏洞已被黑客在野外大规模利用，危害程度极高。漏洞源于插件Redis功能配置缺陷，低权限未授权攻击者可利用该漏洞直接获取服务器ROOT最高权限，随意执行恶意脚本、篡改网站数据、植入持久化后门，完全接管业务服务器。漏洞影响2.3至2.4.4全系列版本插件，全网暴露受影响设备数量庞大。CISA强制要求联邦机构4日内完成漏洞修复，于5月29日前完成全量升级与风险排查，同时敦促政企用户同步更新官方补丁，清查异常访问日志，彻底清除入侵残留文件，杜绝服务器失陷风险。

https://www.bleepingcomputer.com/news/security/cisa-gives-feds-4-days-to-patch-actively-exploited-cpanel-plugin-flaw/

---