每日安全简讯(20260630)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 微软移除119个StegoAd恶意Edge浏览器扩展

微软官方警告并移除了Edge浏览器插件商店中119个恶意扩展程序，相关活动被称为StegoAd，涉及广告拦截器、VPN、翻译器和视频下载器等常见类型，总安装量上限约260万。已披露信息显示，这些扩展程序将恶意载荷隐藏在普通图片和字体文件中，早期变种在PNG图标中附加JavaScript代码，后续转向WebP图片和WOFF2字体文件。扩展安装后会延迟数天执行，并通过服务器端验证、指纹检查、用户代理检查和开发者工具监测规避分析。其功能包括广告欺诈、搜索重定向、联盟佣金劫持、远程代码执行、Google凭据和双因素验证码窃取、WordPress管理员登录信息收集，以及Cookie批量窃取。

https://microsoftedge.github.io/edgevr/posts/Inside-StegoAd-How-We-Disrupted-a-Massive-Malicious-Extension-Campaign/

---

2 伪装PostCSS工具的npm包传播Windows远控木马

安全研究人员披露，多个恶意npm包伪装成PostCSS相关工具，最终在Windows主机上部署远程访问木马。已识别包包括aes-decode-runner-pro、postcss-minify-selector和postcss-minify-selector-parser，均由同一npm用户在过去一个月内发布。已披露信息显示，相关包嵌入JavaScript投放器，会将PowerShell脚本写入磁盘并执行，随后从外部服务器下载下一阶段ZIP载荷。该ZIP文件包含Visual Basic脚本、Python运行时、Python加载器和Nuitka编译的Python扩展模块。最终RAT可收集主机信息、窃取Google Chrome凭据和扩展数据、运行Shell命令，并与C2服务器进行文件上传和下载。

https://research.jfrog.com/post/from-postcss-typosquat-to-windows-rat/

---

3 Cordyceps漏洞导致300多个GitHub仓库面临风险

安全研究人员披露，一类被命名为Cordyceps的CI/CD工作流漏洞影响300多个高价值GitHub仓库，攻击者可劫持工作流并破坏开源供应链。已披露信息显示，研究人员扫描约3万个高影响力代码库，发现300多个仓库可被完全利用，可能导致攻击者控制代码执行、窃取凭证并破坏供应链。问题核心在于薄弱的CI/CD配置赋予拉取请求过多权限，使不受信任的PR可触发特权工作流，引发命令注入、权限提升或密钥泄露。受影响案例涉及微软、Google、Apache、Cloudflare和Python软件基金会等项目。相关组织在负责任披露后确认影响、采取加固措施或发布补丁。

https://novee.security/blog/cordyceps/

---

4 Lantronix EDS5000命令注入漏洞已被攻击利用

美国网络安全机构CISA通报，Lantronix EDS5000系列设备中的严重漏洞CVE-2025-67038已被积极利用。已披露信息显示，该漏洞CVSS评分为9.8，属于代码注入问题，可能导致攻击者以提升权限执行任意命令。漏洞存在于HTTP RPC模块中，该模块在用户身份验证失败时执行Shell命令写入日志，但用户名被直接拼接到命令中，缺少清理措施，攻击者可在用户名参数中注入操作系统命令，并以Root权限执行。该问题此前作为BRIDGE:BREAK系列漏洞的一部分被披露，影响Lantronix和Silex串口转IP转换器。当前公开信息未说明具体利用方式和幕后攻击者。

https://www.cisa.gov/news-events/alerts/2026/06/23/cisa-adds-four-known-exploited-vulnerabilities-catalog

---

5 GitHub更新actions/checkout阻断Pwn攻击模式

GitHub更新actions/checkout，以阻断利用pull_request_target工作流触发器的常见Pwn请求攻击模式。已披露信息显示，自2026年6月18日起，actions/checkout最新版本默认拒绝在pull_request_target和特定workflow_run工作流中获取Fork拉取请求代码，相关变更预计在7月16日回移到所有当前支持的主要版本。pull_request_target工作流在基础仓库默认分支上下文运行，可能暴露密钥和具有读写权限的GITHUB_TOKEN。若该触发器与actions/checkout结合，导致下载并执行来自不受信任Fork提交的代码，攻击者可通过恶意拉取请求窃取令牌和密钥。该机制此前与多个软件供应链攻击活动有关。

https://thehackernews.com/2026/06/github-updates-actionscheckout-to-block.html

---

6 Samsung KNOX内核UAF漏洞影响大量Galaxy设备

安全研究人员披露，Samsung KNOX协议栈中的CVE-2026-20971为内核级释放后使用漏洞，存在于PROCA和FIVE两个内核级子系统交互中。已披露信息显示，PROCA和FIVE用于帮助Samsung验证进程完整性，漏洞源于竞态条件。当进程状态变化时，旧完整性对象被释放，新对象取而代之；在特定调度窗口中，一个线程可读取指针后被挂起，随后继续使用已被释放的内存。研究人员认为，不受信任应用可触发该漏洞，并可能导致内核内存损坏。Samsung已在2026年1月更新中修复该问题。受影响范围覆盖Galaxy S9至Galaxy S25、A系列设备，以及基于Exynos和Qualcomm处理器、运行Android 13至16的机型。

https://securityaffairs.com/194090/security/samsung-knox-kernel-uaf-exposes-millions-of-galaxy-devices.html

---