每日安全简讯(20260530)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 新型Android远控木马BTMOB大规模扩散

安全厂商披露新型Android远控木马BTMOB大规模扩散，该恶意软件由SpySolr演变而来，主打高隐蔽性与全权限控制能力，按月700美元售卖MaaS服务，面向全球开展攻击。BTMOB通过钓鱼网站诱导用户下载仿谷歌商店恶意APK，滥用无障碍服务获取高权限，可窃取短信、通话记录、账号密码，支持屏幕录制、远程控制，适配多国语言伪装成税务、物流等官方应用。攻击者开放定制化生成工具，可快速制作不同版本恶意软件，变种迭代快、检测率低，已在拉美、东南亚形成规模化攻击，大量用户设备被植入后遭持续监控与数据窃取，移动终端安全防护面临严峻挑战。

https://www.welivesecurity.com/en/malware/btmob-stealthy-rat-burrowing-deep-android-devices/

---

2 TamperedChef恶意软件伪装成办公软件传播

安全研究人员曝光TamperedChef新型供应链攻击，攻击者批量制作仿PDF编辑器、日历、压缩工具等常用办公软件，植入恶意代码后通过正规推广渠道分发，已渗透超半数企业办公网络。恶意软件具备极强伪装性，界面功能与正版一致，含完整用户协议与技术支持页面，初始潜伏数周规避沙箱检测，触发后下载信息窃取模块、远控木马。攻击者长期运营广告投放网络，劫持搜索结果推送恶意软件，早期依赖高价EV证书规避检测，现改用AI生成海量页面变种，无需证书即可绕过防护，企业终端需严格管控非官方软件安装，防范隐蔽投毒风险。

https://securityonline.info/tampered-chef-malware-productivity-apps/

---

3 攻击者伪造人工智能工具网站传播窃密木马

安全团队披露针对开发者的SEO投毒攻击，黑客搭建仿Gemini、Claude官方下载站，利用域名拼写错误与搜索排名劫持，诱导开发者下载恶意安装包。用户执行伪装PowerShell脚本后，后台自动安装正版AI工具，同时植入无文件内存窃取器，禁用AMSI与ETW防护，窃取浏览器凭证、聊天软件会话、云配置与加密货币钱包。攻击者注册30余个同类恶意域名，盗用中国企业EV证书规避安全提示，已窃取大量GitHub、云平台高权限凭证，企业开发环境需严格校验工具来源，防范搜索引擎诱导式投毒攻击。

https://hackread.com/trojan-gemini-claude-installers-developers-seo-poisoning/

---

4 Gogs代码托管平台曝远程代码执行漏洞

开源Git托管平台Gogs曝高危远程代码执行漏洞（CVSS 9.4），已报告两个多月仍未修复，默认配置下任意注册用户可利用漏洞接管服务器。攻击者创建含恶意分支名的合并请求，利用git rebase --exec参数注入命令，无需管理员权限即可执行任意代码、窃取仓库数据、横向渗透内网。漏洞影响Windows、Linux、macOS全平台，全网暴露实例超1100个，Rapid7已发布攻击模块，建议管理员关闭注册、限制仓库创建，及时加固防护避免未授权访问。

https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html

---

5 嘉年华邮轮近600万用户数据遭泄露

全球最大邮轮运营商嘉年华集团（Carnival）确认数据泄露事件，约599.5万名用户信息遭非法窃取。攻击者通过社工手段诱骗员工泄露权限，于4月入侵内部系统，窃取姓名、生日、邮箱、会员等级等敏感数据，随后被勒索组织ShinyHunters认领。嘉年华向受害者提供24个月信用监控服务，此次泄露暴露邮轮行业用户数据价值高、防护薄弱的问题，受害者面临身份盗用、精准诈骗风险，企业需强化员工安全培训、完善权限管控，防范社工类入侵攻击。

https://www.malwarebytes.com/blog/data-breaches/2026/05/carnival-confirms-data-breach-impacting-nearly-6-million

---

6 谷歌工程师利用内部数据非法获利被捕

谷歌36岁安全工程师Michele Spagnuolo因涉嫌内幕交易被捕，被控滥用公司内部2025年度搜索趋势机密数据，在预测市场非法获利超120万美元。该工程师自2014年任职，利用内部工具获取未公开热门搜索人物数据，在Polymarket平台投注，刻意隐藏交易痕迹，通过加密货币钱包转账规避追踪。谷歌已将其停职并配合调查，此案暴露科技企业内部数据管控漏洞，凸显内部威胁风险，企业需强化机密数据访问审计、完善权限隔离，防范内部人员滥用信息牟利。

https://cyberscoop.com/google-security-engineer-insider-trading-polymarket/

---