户外品牌The North Face近日披露2025年4月23日遭撞网络攻击，黑客利用历史泄露的凭证批量登录thenorthface.com，导致客户全名、收货地址、电话、邮箱、出生日期及购买记录外泄。支付信息因由第三方处理未受影响。这是该品牌自2020年以来第四次同类事件。

Qualys威胁研究单位近日披露了针对主要Linux发行版上的核心转储处理程序的两个漏洞，该漏洞影响Ubuntu与RHEL系统核心转储机制。攻击者通过竞态条件操纵SUID程序（如密码验证组件unix_chkpwd），可窃取核心转储中的密码哈希、加密密钥等敏感数据。漏洞波及范围包括：Ubuntu 16.04至24.04（Apport＜2.33.0）、RHEL 9 10及Fedora 40 41（systemd-coredump组件），仅Debian因默认未安装核心转储处理器暂不受影响。

美国财政部外国资产控制办公室近日宣布对Funnull Technology Inc.公司及其管理员实施全面制裁，指控该公司为全球性 "杀猪盘 "加密货币骗局提供核心技术支撑，造成美国受害者损失超2亿美元。该诈骗模式通过伪造恋爱关系诱导受害者投资虚假交易平台，进而实施金融掠夺。

移动芯片巨头高通近日发布紧急安全更新，修复其Adreno GPU驱动中三个正被主动利用的零日漏洞（CVE-2025-21479 21480 27038），全球数十亿安卓设备面临风险。前两个漏洞（CVSS 8.6）属严重级别，攻击者可通过恶意GPU指令序列破坏内存，实现特权提升；后者（CVSS 7.5）涉及Chrome浏览器的 "释放后重用 "缺陷，能绕过沙箱隔离执行任意代码。谷歌威胁分析小组证实漏洞已遭 "有限针对性利用 "，攻击者可借恶意网页触发图形渲染漏洞链。

联发科披露近日影响智能手机、平板及IoT设备的多个安全漏洞，其中最严重的是蓝牙驱动高危漏洞CVE-2025-20672（堆溢出缺陷）。攻击者仅需基础执行权限即可本地提权，全程无需用户交互，波及MT7902 7921 7922 7925 7927等芯片（NB SDK ≤3.6版本）。另五个中危漏洞涉及WLAN与网络服务：CVE-2025-20673 20675 20676属空指针解引用问题，可致系统崩溃；CVE-2025-20674为WLAN AP驱动授权缺陷，允许攻击者远程注入恶意数据包，影响MT6890 6990 7915 7990等更广泛芯片（SDK≤7.6.7.2及特定OpenWrt版本）。

安全研究人员近日发现新型恶意软件活动利用合法的SSH客户端，包括流行的PuTTY应用程序和Windows内置的OpenSSH实现，在受感染的系统上建立持久的后门。该恶意软件专门针对ssh执行文件，通过操纵系统服务与注册表实现持久化：首先尝试启动 "SSHService "服务，失败后则读取注册表项SOFTWARE SSHservice获取预存的随机端口号（首次执行时生成并存储）。随后在c: windows temp config目录创建定制化SSH配置文件，与C2服务建立通信，通过伪装成HTTPS流量规避检测。

安全公司ReversingLabs近日发现攻击者在PyPI平台上传三个伪装成阿里云AI Lab SDK的恶意包（aliyun-ai-labs-sdk等），通过PyTorch模型文件植入信息窃取程序。这些恶意包上线不到24小时即被下载1600次，主要针对中国开发者。

安全研究员近日在Apache Tomcat的CGI servlet实现中发现了一个新的安全漏洞，该漏洞允许攻击者在特定条件下绕过配置的安全约束。该漏洞被命名为CVE-2025-46701，影响了流行的Java应用服务器的多个版本。该缺陷源于Apache Tomcat的CGI servlet中对大小写敏感性处理不当。当Tomcat在带有为pathInfo组件配置的安全约束的不区分大小写的文件系统上运行时，特制的url可以绕过这些保护措施。

据外媒报道，内衣品牌维多利亚秘密近日因遭遇安全事件，已紧急关停美国官网及部分店内服务，同时延长线上退货期限30天。公司声明称已启动应急预案并聘请第三方安全专家全天候处置，但未透露事件性质、波及范围及数据泄露风险，仅强调关停措施属 "预防性质 "。事件导致消费者无法查询订单状态且客服渠道瘫痪，引发社交媒体大量投诉。

网络安全公司Cofense近日披露，威胁者正滥用谷歌Apps Script（基于云的JavaScript开发平台）绕过钓鱼防御。攻击者向目标发送伪装成发票的钓鱼邮件，内含指向script[.]google[.]com的链接，利用谷歌品牌信任诱导点击。当用户访问该链接时，会触发精心伪造的登录弹窗（模仿被冒用公司的域名），输入凭证即遭窃取。随后脚本自动将受害者重定向至正规微软登录页掩盖痕迹。

网络安全公司SquareX5月29日披露一种针对Safari浏览器的全新高级中间浏览器（BitM）攻击变种——“全屏BitM攻击”。该攻击利用Safari全屏API的漏洞，结合传统BitM攻击手段（即在受害者浏览器中弹出攻击者控制的远程浏览器窗口），通过诱导用户点击嵌入的虚假按钮（如“登录”按钮）触发全屏模式。全屏状态下，恶意窗口完全覆盖父窗口，隐藏了原始URL，并完美模拟合法登录页面（如企业SaaS或政府服务站点），使地址栏显示伪造的信任域名。

据外媒报道，网络安全公司SentinelOne于5月29日全球性平台中断服务，持续约5小时后恢复控制台访问。该公司声明此次故障影响全球商业客户的主机系统，强调“初步分析表明这不是安全事件”。中断期间，客户端终端防护功能保持运行，但托管响应服务失去可见性，威胁数据报告出现延迟。

网络安全公司思科Talos近日揭露，犯罪团伙正利用伪造的OpenAI ChatGPT和InVideo AI等热门人工智能工具安装程序作为诱饵，散播包括CyberLock、Lucky_Gh0$t勒索软件及新型破坏性恶意软件Numero。这些被仿冒的AI工具在企业营销领域应用广泛，相关行业人员成为主要攻击目标。犯罪团伙采用 "搜索引擎优化(SEO)中毒 "手段提升虚假网站搜索排名，以 "首年免费 "诱骗用户下载含恶意ZIP压缩包。实际执行的.NET程序（novaleadsa.exe）会部署CyberLock勒索软件，该软件可提权运行，加密C D E盘指定文件。

近日，网络安全公司GreyNoise监测到一场高度协同的云扫描活动。251个位于日本、由亚马逊托管的恶意IP针对75个不同暴露点发起攻击，目标包括Adobe ColdFusion、Apache Struts、Elasticsearch、Oracle WebLogic等系统。攻击手段涵盖CVE漏洞利用（如ColdFusion的CVE-2018-15961、Struts的CVE-2017-5638、Elasticsearch的CVE-2015-1427）、错误配置探测及Git配置爬取等侦察活动。

Fortinet最新研究发现，一款新型Windows远程访问木马通过刻意损坏可执行文件的DOS头（实现MS-DOS兼容性）和PE头（存储Windows执行元数据）逃避检测，在受害主机的dllhost.exe进程中潜伏数周。攻击者通过PowerShell脚本注入恶意载荷，其破坏性文件头设计导致传统分析工具失效。研究人员经复杂内存取证，成功从转储数据中重建有效载荷。

据外媒报道，5月27日俄勒冈州通过新法案，禁止销售可定位个人在1750英尺（约533米）范围内的精确地理位置数据，成为继马里兰州后全美第二个实施此类禁令的州。该法案同时禁止出售16岁以下儿童的个人数据，较联邦《儿童在线隐私保护法》（仅限13岁以下）更为严格，进一步强化了该州2023年通过的隐私法。

网络安全人员近日披露，TI WooCommerce Wishlist插件存在一个高危的未修补漏洞（CVE-2025-47577），CVSS评分为满分10.0。该插件安装量超过10万，允许电商用户收藏商品。攻击者可在无需身份验证的情况下，利用漏洞上传任意文件至服务器。但成功利用需满足特定条件：站点必须同时安装并激活WC Fields Factory插件，且在Wishlist中启用集成功能。攻击者可借机上传恶意PHP文件实现远程代码执行（RCE）。目前包括最新版2.9.2在内的所有版本均受影响，尚无官方补丁。

5月28日，GreyNoise报道称，华硕的数千台路由器已被无恶意软件后门入侵，全球超9000台设备受影响。攻击者通过凭证爆破及未分配CVE的认证绕过漏洞（如伪造 "asusrouter- "用户代理、利用 "asus_token= "空字节截断缺陷）获取初始访问权限，并组合利用CVE-2021-32030等已知漏洞在TCP 53282端口建立SSH通道。特别在未修复CVE-2023-39780的RT-AX55机型上，攻击者激活嵌入式日志功能BWSQL注入恶意命令。

微软Entra身份平台近日被曝存在高危设计缺陷，BeyondTrust研究表明：当拥有主租户计费权限（如免费试用账户）的访客进入目标租户时，可绕过常规权限限制直接创建订阅，并通过转移操作成为订阅所有者攻击者获得订阅所有权后，可侦察租户管理员信息、禁用安全监控系统、创建持久化后门，并滥用设备信任机制。核心风险源于计费权限与资源控制权限的分离，导致基于角色的访问控制（RBAC）模型失效。

外媒报道，微软OneDrive文件选择器（File Picker）近日被曝存在严重权限设计缺陷，导致用户通过ChatGPT、Slack等数百款应用上传文件时，授予其对整个OneDrive存储库的完全读写权限。绿洲安全公司研究显示，该问题源于OAuth授权机制缺陷——用户操作界面仅显示 "访问选定文件 "，实际却向关联应用开放全部云端数据，且权限长期有效。