Sysdig披露首个代理式AI勒索软件JADEPUFFER

-
二十多个0day被公开,可直接武器化攻击
上周GitHub上有人公开了二十多个未上报的0day漏洞及利用代码,覆盖云开发模拟器、CI runner、媒体解析库、远控软件、VPN客户端等多个方向,部分可直接武器化。作者称这些漏洞’在我发布的时候,一个都还没上报过’。
来源: CN-SEC 中文网
-
保险巨头Aflac披露数据泄露事件,数百万用户受影响
美国保险公司Aflac披露重大数据泄露事件,其子公司Aflac Japan于6月25日发现入侵,一名“未经授权的第三方”在6月15日至6月25日期间访问了某些系统。近440万客户的个人和财务信息已泄露,包括保单详情、银行账户信息。
来源: Info Security Magazine
-
针对伊比利亚半岛的持续“Ousaban”攻击分析
FortiGuard Labs发现一起针对西班牙和葡萄牙用户的攻击事件,涉及银行木马Ousaban。该恶意软件通过MSI下载器传播,使用DLL侧载或进程注入运行。钓鱼PDF诱骗受害者访问恶意网页,最终投递Ousaban有效载荷。
来源: Fortinet
-
美敦力通知受ShinyHunters数据泄露事件影响的客户
医疗设备公司美敦力正在就一起数据泄露事件通知受影响的客户,该事件导致其个人数据被泄露给未经授权的第三方。黑客组织ShinyHunters宣称对此次攻击负责,声称掌握着900万条美敦力的记录,其中包含个人身份信息(PII)和公司内部数据。
来源: BleepingComputer
-
思科Talos曝光了ARToken微软365钓鱼工具包
思科Talos发现名为ARToken的“钓鱼即服务”平台,与EvilTokens生态系统密切相关,为联盟成员提供入侵Microsoft 365账户、维持持久化及发起BEC攻击的完整平台。该平台滥用微软OAuth设备代码认证流程窃取令牌并绕过多因素认证,采用七层反分析框架及XOR加密规避检测。
来源: eSecurity Planet
-
苹果修复了30多个iOS、macOS和Safari漏洞,其中包括由人工智能发现的WebKit漏洞
苹果公司发布了针对iOS、macOS和Safari的安全更新,修复三十余个漏洞,其中包括通过Anthropic Claude和OpenAI Codex Security等AI工具发现的四个WebKit漏洞。漏洞包括CVE-2026-43707内存损坏、CVE-2026-43716未指明崩溃、CVE-2026-43745越界写入、CVE-2026-43715释放后使用问题。
来源: The Hacker News
-
Progress Kemp LoadMaster 漏洞可能使攻击者在未经身份验证的情况下执行 root 命令
Progress Kemp LoadMaster 中存在一个关键漏洞,未经身份验证的攻击者只需向其 API 发送经过特殊构造的请求,即可在设备上以 root 身份执行任意命令。该漏洞的追踪编号为 CVE-2026-8037,CVSS 评分为 9.8。
来源: The Hacker News

夜雨聆风