每日安全简讯(20260604)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 黑客组织劫持数千网站开展ClickFix和假更新攻击

安全研究人员披露，一个被命名为DriveSurge的黑客组织正在利用ClickFix和FakeUpdates技术，在被入侵网站上开展大规模恶意软件分发活动。已披露信息显示，数千个合法网站遭到入侵，访问者被重定向至恶意软件分发基础设施。ClickFix会诱骗受害者以解决技术问题为名复制并执行恶意命令，FakeUpdates则伪装成浏览器更新提示，引导用户下载恶意载荷。报告称，被入侵网站访问者会被重定向到流量分配系统，该系统分析访问者并决定展示假更新或ClickFix诱饵。研究人员还发现，相关活动包含面向macOS桌面系统的混淆JavaScript有效载荷。

https://www.silentpush.com/blog/drivesurge/#Analyzing-an-Obfuscated-Payload-Leads-to-macOS-Malware

---

2 Dashlane密码管理器用户遭遇暴力破解攻击被锁定

Dashlane确认，部分用户账户遭到外部暴力破解攻击，并触发账户暂停机制。相关公司表示，账户暂停属于自动化安全响应措施，目的是防止账户被劫持，受影响账户现已恢复使用。已披露信息显示，一些用户此前收到来自国外位置和未知设备的可疑访问请求通知，邮件中包含用于注册新设备的验证码，部分用户因此怀疑是否遭遇钓鱼活动。随后，相关服务方说明其系统安全，该事件由连续尝试多个密码的暴力破解攻击引发。状态页面显示，事件调查于5月31日15:19UTC启动，到22:30UTC被标记为已解决，所有受影响账户已解封。

https://status.dashlane.com/pages/5aabcb89fccc4b04d3774443

---

3 域控服务零点击远程代码执行漏洞已被攻击者利用

安全研究人员披露，编号为CVE-2026-41089的域控服务远程代码执行漏洞已被积极利用。该漏洞影响配置为域控制器的服务器，允许未经身份验证的远程攻击者通过特制网络请求，以SYSTEM级权限执行任意代码。已披露信息显示，该漏洞已在2026年5月的补丁发布中修复，并因可远程利用、无需用户交互以及可能导致域控制权受影响而被列为严重级别。相关预警指出，攻击者只需获得对易受攻击域控制器服务的网络访问权限，即可触发服务内部错误处理并执行代码。该漏洞可能被用于自动化利用、横向移动以及在网络中立足后的快速域内入侵。

https://ccb.belgium.be/advisories/warning-microsoft-patch-tuesday-may-2026-patches-118-vulnerabilities-16-critical-102

---

4 Ins社交平台账户恢复工具漏洞可实现账号盗取

研究人员披露，Instagram社交平台的AI驱动账户恢复工具存在缺陷，攻击者可诱导聊天机器人转发密码重置代码，从而绕过验证并接管高价值账户。已披露信息显示，攻击者通过与AI聊天机器人对话，操纵其将重置代码发送给未经授权的第三方，使知道目标用户名的人员可发起账户接管流程。相关公司表示，已修复一个允许外部人员请求部分用户重置密码邮件的问题，并称其系统未遭入侵，用户账户仍然安全。报道还称，攻击者针对短用户名等高价值账户，部分账户在私人频道中被转手。该事件被描述为AI逻辑层处理恢复请求时控制措施不足所导致，而非传统服务器入侵。

https://cybersecuritynews.com/instagram-meta-ai-vulnerability/

---

5 AI编排平台远程代码执行漏洞POC代码被公开

安全研究人员发布了Flowise编排平台远程代码执行漏洞CVE-2026-40933的技术信息和概念验证代码。该漏洞CVSS评分为9.9，此前与多个影响依赖模型上下文协议生态系统的安全缺陷一同披露。已披露信息显示，该问题源于适配器中stdio命令的不安全序列化，攻击者可添加包含任意命令的stdio服务器并实现代码执行。在3.1.0版本之前，相关平台允许用户添加新的工具配置，并在添加过程中提供任意命令，导致底层操作系统上执行代码。研究人员称，远程攻击者可将恶意配置嵌入聊天流程并与受害者共享，受害者导入后可能触发服务器端代码执行。

https://www.obsidiansecurity.com/blog/when-is-stdio-mcp-actually-a-vulnerability/

---

6 RedHat软件包供应链攻击可窃取开发者凭据

安全研究人员披露，一次供应链攻击破坏了Red Hat相关命名空间下30多个npm软件包，并传播名为Miasma的Shai-Hulud凭证窃取恶意软件新变种。已披露信息显示，数十个软件包版本被植入恶意后门，目标包括开发者凭据、云密钥、SSH密钥、CI/CD令牌和其他敏感信息。相关公司表示，受影响软件包已从npm注册表删除，事件仅限于内部开发工具，恶意代码未通过客户系统发布。研究人员称，攻击者涉嫌入侵一名员工的代码托管账户，并将恶意提交推送至多个存储库。此次事件影响32个软件包和96个软件包版本。

https://www.aikido.dev/blog/red-hat-npm-packages-compromised-credential-stealing-worm

---