每日安全简讯(20260626)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 ShapedPlugin插件供应链攻击在更新时传播后门

ShapedPlugin多款WordPress付费插件在供应链攻击中遭到入侵，受感染版本通过供应商官方更新系统分发给客户。已披露信息显示，事件影响Product Slider Pro for WooCommerce 3.5.4之前版本、Real Testimonials Pro 3.2.5版本和Smart Post Show Pro 4.0.2之前版本。恶意更新包含LicenseLoader.php加载文件，当WordPress管理员访问管理面板时激活，随后连接C2服务器下载第二阶段后门，并将其安装为伪装成WooCommerce组件的虚假插件。该插件可窃取WordPress登录凭据、安全插件双因素密钥、wp-config.php中的数据库凭据和认证密钥、管理员账户详情、SMTP凭据，以及过去三个月WooCommerce订单数据。

https://www.wordfence.com/blog/2026/06/psa-supply-chain-compromise-targets-shapedplugin-backdoored-pro-plugins-distributed-via-official-channels/

---

2 AryStinger僵尸网络感染全球数千台D-Link路由器

安全研究人员披露，此前未记录的AryStinger僵尸网络已入侵全球4000多台过时路由器，并将受感染设备变成恶意流量代理。已披露信息显示，AryStinger主要针对D-Link DIR-850L和DIR-818LW等停产路由器，利用CVE-2013-3307、CVE-2016-5681和CVE-2025-11837等旧漏洞入侵设备。该恶意软件可将设备变为远程控制的执行器，用于扫描、代理、隧道、命令执行和其他活动，也可篡改DNS设置、劫持浏览活动，并监控或窃取入站和出站网络流量。遥测数据显示，感染主要集中在韩国、中国、瑞典、马来西亚和新加坡。研究人员还发现其存在面向NAS系统的Go语言变种。

https://blog.xlab.qianxin.com/arystinger-botnet-hijacks-legacy-routers-for-global-attacks-en/

---

3 Prinz Eugen勒索软件优先加密用户最新修改文件

安全研究人员披露，新型Prinz Eugen勒索软件会优先加密最近修改过的文件，并且不会在系统中留下勒索信息。已披露信息显示，攻击者采用手动键盘操作方式，并偏好使用合法远程监控和管理软件以及本地部署工具。研究人员认为，初始访问很可能通过被窃RDP凭据实现，随后攻击者手动下载并执行主要载荷servertool.exe。该基于Go语言的勒索软件会递归检查目录，不设置深度限制或排除项，并加密几乎所有未带.prinzeugen扩展名的文件。其加密逻辑优先处理最近修改文件，若多个文件时间戳相同则按字母顺序处理。研究人员确认至少5名受害者，并称部分事件涉及数据窃取。

https://www.threatdown.com/blog/prinz-eugen-ransomware-a-deep-dive-into-a-new-go-based-encryptor/

---

4 苹果Beats Studio Buds芯片漏洞可被用于窃听

Apple发布Beats固件更新1B211，修复影响Beats Studio Buds无线耳机的严重漏洞CVE-2025-20701。已披露信息显示，该漏洞存在于Airoha系统芯片中，源于蓝牙BR/EDR无线电缺少身份验证弱点。攻击者在蓝牙范围内可能通过尚未配对且正在主动寻求配对请求的设备麦克风进行监听。研究人员曾创建概念验证利用程序，可发起呼叫并窃听目标手机附近范围内的对话。若与同一组件中的CVE-2025-20700和CVE-2025-20702串联，攻击者还可在劫持手机与配对蓝牙音频设备之间连接后，使用蓝牙免提配置文件向手机发出命令。

https://support.apple.com/en-us/127557

---

5 CISA警告Splunk Enterprise漏洞已被攻击利用

美国网络安全机构通报，Splunk Enterprise严重漏洞CVE-2026-20253已被攻击者利用，并要求联邦机构在规定期限内完成处置。已披露信息显示，该漏洞影响Splunk Enterprise 10.2.0至10.2.3版本和10.0.0至10.0.6版本，允许无权限远程攻击者通过PostgreSQL sidecar服务端点在易受攻击设备上创建或截断任意文件。Splunk安全团队表示，问题源于相关服务端点缺乏身份验证控制。漏洞补丁发布后，技术细节和概念验证代码已公开，并被指出可进一步用于远程代码执行攻击。Splunk随后更新公告称，产品安全事件响应团队发现该漏洞已被有限利用。

https://www.bleepingcomputer.com/news/security/cisa-splunk-enterprise-flaw-actively-exploited-patch-by-sunday/

---

6 任天堂确认TinyPulse服务数据被攻击者窃取

美国任天堂确认，攻击者从其内部使用的第三方TinyPulse服务中窃取调查数据，但任天堂自身系统未被入侵。已披露信息显示，TinyPulse是员工参与度和反馈平台，用于匿名调查、参与度分析、反馈收集和工作场所文化评估。任天堂表示，事件涉及的数据仅限于少数员工的部分内部调查内容，且大部分信息可追溯至几年前，未涉及客户个人数据或财务数据。名为Shadowbyt3$的勒索服务组织声称窃取了近1GB与美国任天堂员工相关的数据，并索要200万美元赎金。该组织声称数据包括全名、电子邮件地址、调查数据、银行对账单、W-9表格、进度计划和报告等，但相关说法尚未得到独立确认。

https://www.bleepingcomputer.com/news/security/nintendo-confirms-data-stolen-in-webmd-subsidiary-cyberattack/

---