乐于分享
好东西不私藏

Sysdig披露首个代理式AI勒索软件JADEPUFFER

Sysdig披露首个代理式AI勒索软件JADEPUFFER

  • 二十多个0day被公开,可直接武器化攻击

    上周GitHub上有人公开了二十多个未上报的0day漏洞及利用代码,覆盖云开发模拟器、CI runner、媒体解析库、远控软件、VPN客户端等多个方向,部分可直接武器化。作者称这些漏洞’在我发布的时候,一个都还没上报过’。

    来源: CN-SEC 中文网

  • 保险巨头Aflac披露数据泄露事件,数百万用户受影响

    美国保险公司Aflac披露重大数据泄露事件,其子公司Aflac Japan于6月25日发现入侵,一名“未经授权的第三方”在6月15日至6月25日期间访问了某些系统。近440万客户的个人和财务信息已泄露,包括保单详情、银行账户信息。

    来源: Info Security Magazine

  • 针对伊比利亚半岛的持续“Ousaban”攻击分析

    FortiGuard Labs发现一起针对西班牙和葡萄牙用户的攻击事件,涉及银行木马Ousaban。该恶意软件通过MSI下载器传播,使用DLL侧载或进程注入运行。钓鱼PDF诱骗受害者访问恶意网页,最终投递Ousaban有效载荷。

    来源: Fortinet

  • 美敦力通知受ShinyHunters数据泄露事件影响的客户

    医疗设备公司美敦力正在就一起数据泄露事件通知受影响的客户,该事件导致其个人数据被泄露给未经授权的第三方。黑客组织ShinyHunters宣称对此次攻击负责,声称掌握着900万条美敦力的记录,其中包含个人身份信息(PII)和公司内部数据。

    来源: BleepingComputer

  • 思科Talos曝光了ARToken微软365钓鱼工具包

    思科Talos发现名为ARToken的“钓鱼即服务”平台,与EvilTokens生态系统密切相关,为联盟成员提供入侵Microsoft 365账户、维持持久化及发起BEC攻击的完整平台。该平台滥用微软OAuth设备代码认证流程窃取令牌并绕过多因素认证,采用七层反分析框架及XOR加密规避检测。

    来源: eSecurity Planet

  • 苹果修复了30多个iOS、macOS和Safari漏洞,其中包括由人工智能发现的WebKit漏洞

    苹果公司发布了针对iOS、macOS和Safari的安全更新,修复三十余个漏洞,其中包括通过Anthropic Claude和OpenAI Codex Security等AI工具发现的四个WebKit漏洞。漏洞包括CVE-2026-43707内存损坏、CVE-2026-43716未指明崩溃、CVE-2026-43745越界写入、CVE-2026-43715释放后使用问题。

    来源: The Hacker News

  • Progress Kemp LoadMaster 漏洞可能使攻击者在未经身份验证的情况下执行 root 命令

    Progress Kemp LoadMaster 中存在一个关键漏洞,未经身份验证的攻击者只需向其 API 发送经过特殊构造的请求,即可在设备上以 root 身份执行任意命令。该漏洞的追踪编号为 CVE-2026-8037,CVSS 评分为 9.8。

    来源: The Hacker News