微软数字犯罪部门近日协同美国司法部、欧洲刑警组织及全球网络安全企业，于5月13日发起“断链行动”，成功瓦解活跃近三年的Lumma Stealer恶意软件即服务（MaaS）网络。该犯罪网络通过钓鱼邮件、恶意广告及加载程序传播，累计感染全球超40万台Windows设备，窃取银行凭证、加密钱包等敏感数据，并被Octo Tempest等勒索组织用于协同攻击。

近日，网络安全研究人员发现一款名为“PupkinStealer”的.NET框架恶意软件自2025年4月起活跃，专攻Windows系统用户浏览器密码及即时通讯应用令牌窃取。该恶意软件采用“速窃速离”模式，仅需数秒即可完成从数据提取到外泄的全流程操作，且不驻留系统以规避传统检测。其攻击目标涵盖Chrome、Edge、Opera、Brave等基于Chromium的浏览器，通过解析本地数据库获取敏感凭证后，将数据压缩加密并经由Telegram Bot API实时传输至攻击者服务器，利用合法通信协议掩盖恶意流量。

安全研究人员近日披露JavaScript加密库OpenPGP.js存在严重漏洞（CVE-2025-47934），可能破坏Proton Mail等依赖该库的电子邮件服务客户端加密机制。该漏洞CVSS 评分为9.8分，源于openpgp.verify和openpgp.decrypt函数对特定消息的异常处理。攻击者若获取合法签名及对应明文数据，可构造虚假内联签名或加密消息，使系统错误验证篡改后的内容为有效签名，直接颠覆加密通信防篡改的核心承诺。

近日，澳大利亚通信和媒体管理局对电信运营商Circles.Life处以创纪录的41.3万澳元罚款，因其二次违反反诈骗身份验证规则，导致客户遭遇大规模数字身份盗窃。调查显示，2024年1月至2月间，该公司未履行电话号码转移强制验证程序达26次，致使诈骗者劫持用户手机号并假冒客户入侵银行账户，造成至少4.5万澳元直接损失。

CISA和FBI于5月21日发布联合网络安全公告，揭露高级持续性威胁组织利用LummaC2恶意软件对美国关键基础设施实施定向攻击。该恶意软件具备网络渗透、持久驻留和数据窃取能力，已对能源、交通等核心领域构成实质性威胁。技术分析显示，LummaC2通过鱼叉式钓鱼与零日漏洞组合攻击突破防线，采用模块化设计规避检测，可窃取工业控制系统敏感数据。当局敦促关键部门立即核查网络日志匹配IOCs清单，强制实施多因素认证，隔离关键OT系统，并更新CISA提供的漏洞补丁列表。

网络安全公司WithSecure最新披露，网络犯罪团伙篡改开源密码管理器KeePass，构建名为 "KeeLoader "的高级恶意软件并通过Bing广告诱导用户下载仿冒程序。该木马软件不仅完整保留密码管理功能，还暗藏Cobalt Strike信标实现远程控制，能直接窃取KeePass存储的明文数据库。

英国电信O2的4G语音服务（VoLTE）被曝存在重大隐私漏洞，攻击者可利用IMS信令协议缺陷实时获取用户IMSI、IMEI及基站位置数据（LAC 小区ID），结合cellmapper.net等众包地图，在人口密集区百米内精确定位用户。该漏洞源于O2未对IMS SIP通信头部脱敏，导致通话过程中自动泄露敏感调试信息。攻击者仅需基础网络知识即可通过监听信令或伪造通话请求实施追踪.

近日，外媒报道称，大模型推理框架vLLM存在严重远程代码执行漏洞（CVE-2025-47277），CVSS评分达9.8。该漏洞源于分布式通信组件PyNcclPipe在KV缓存传输时使用Python pickle模块进行不安全反序列化，攻击者可通过构造恶意数据包在主机执行任意命令，完全控制AI服务器。受影响的vLLM版本包括所有依赖PyNcclPipe的分布式部署环境，尤其威胁云服务商的大模型托管平台。

Atlassian官方近日披露其Jira Core数据中心与Jira服务管理数据中心存在高危特权升级漏洞（CVE-2025-22157），CVSS评分7.2。该漏洞影响9.12.0、10.3.0 4.0 5.0版本，攻击者可利用有限权限账号执行高权限操作，获取管理员权限或突破关键工作流限制。Atlassian警告，此漏洞源于版本更新引入的权限校验缺陷，恶意行为者可能借此窃取敏感数据、篡改系统配置或发动供应链攻击。

制药公司Regeneron宣布将于2025年6月以2.56亿美元收购申请破产的基因检测公司23andMe，引发公众对1400万用户DNA数据安全的强烈质疑。根据破产法第11章程序，法院指派独立隐私监察员评估交易影响，要求6月10日前提交报告并于17日举行听证会决定交易合法性。Regeneron承诺沿用现有隐私标准，强调其曾处理300万匿名基因数据的经验，但隐私组织指出，美国缺乏监管基因数据的联邦法律，且23andMe在2023年10月曾发生大规模数据泄露，匿名化技术存在再识别风险。

Group-IB近日追踪发现，2022年曝光的网络钓鱼即服务（PhaaS）工具W3LL已发展为成熟黑色产业生态，其运营的“W3LL商店”向黑客提供定制化钓鱼套件，近期针对微软Outlook凭证发起大规模中间人攻击（AiTM）。

据外媒报道，2025年5月，全球最大加密货币交易所Coinbase因第三方承包商遭黑客贿赂，导致近1%用户（约百万级）的政府ID扫描件、银行账户、交易记录等核心数据泄露，预估损失达1.8亿至4亿美元。攻击者通过社会工程冒充平台客服，诱骗高净值用户授权账户访问并转移资产。

韩国最大电信运营商SK电讯于2025年5月披露，其系统自2022年6月起遭恶意软件长期渗透，导致2695万用户USIM卡认证密钥、IMSI号码、短信及联系人等25类敏感数据泄露，创该国通讯行业最严重安全事件。调查显示，攻击者通过23台受感染服务器植入多态恶意软件，其中15台存有包括29.18万部设备IMEI号在内的个人信息。

据外媒报道，2025年3月推出的勒索软件即服务（RaaS）平台VanHelsing近期因团队内讧导致其核心源代码在暗网论坛泄露，化名“th30c0der”的开发者于RAMP犯罪论坛以1万美元兜售全套工具包，包括Windows Linux加密器生成器、数据泄露博客及TOR密钥等关键组件。随后VanHelsing运营方反制，主动公开旧版源代码，并宣称该行为系前开发者欺诈所致，同时预告将推出升级版VanHelsing 2.0以挽回声誉。

威斯康辛州无线运营商Cellcom近日证实，从2025年5月14日晚开始的大规模服务中断是由网络攻击造成的。该事件中断了威斯康星州和上密歇根州用户的语音和短信服务，。官方强调攻击仅影响网络特定区域，存储用户姓名、地址及财务信息的核心数据库未受波及。

Infoblox近日发现名为 "Hazy Hawk "的黑客组织通过操纵废弃DNS记录劫持全球知名机构云资源，实施大规模恶意软件分发。该组织自2023年12月起利用亚马逊S3、微软Azure等云服务的DNS配置漏洞，成功控制包括美国疾控中心（CDC）、多国政府机构、顶尖高校及德勤等跨国企业的废弃子域名，将可信域名转化为恶意流量枢纽。攻击者通过克隆合法网站内容实施伪装，利用流量分配系统（TDS）将用户引导至虚假投资、色情内容及恶意软件下载页面，并创新性使用浏览器通知实现持久化攻击。

据外媒近日报道，知名VMware工具RVTools官网遭黑客入侵，其安装程序被植入特洛伊木马。安全研究员Aidan Leon发现，7月17日前下载的版本包含恶意DLL文件，可加载Bumblebee恶意软件。开发商Robware紧急关闭robware.net和rvtools.com域名，强调此为唯一官方渠道，建议用户立即核验安装包SHA256哈希值（合法版本应为a8d3c5...），并检查用户目录是否存在version.dll可疑文件。

网络安全公司Cyble近日披露，7大主流云平台约66万个存储桶存在配置缺陷，导致超2000亿份文件遭公开暴露，包括源代码、数据库凭证、机密文档及内部备份等高敏数据。研究显示，仅通过搜索Go语言源码即命中560万条记录，环境变量密钥泄露达11万例，机密文件超160万份，暴露问题自2018年以来持续恶化，未受保护存储桶数量增长显著。安全专家指出，云服务商默认开放权限与用户配置疏忽形成“双重漏洞”，企业过度依赖复杂权限策略反而增加误操作风险。

据外媒近日报道，随着AI技术融入Web应用防火墙，攻击者开发出利用大型语言模型漏洞的提示注入技术以绕过防御。传统WAF依赖正则表达式检测攻击模式，可通过大小写转换、URL编码等简单混淆手段绕过，而AI驱动的WAF通过语义分析识别恶意意图，理论上具备更强防御能力。然而研究发现，AI模型因无法区分系统指令与用户输入的天然缺陷，导致攻击者可嵌入 "忽略检测规则 "等恶意提示，诱导AI将危险载荷误判为安全内容，类似自然语言版的SQL注入攻击。

本月，英国法律援助系统遭受重大网络攻击，导致大量数据被盗，部分数据甚至追溯到2010年。司法部5月初的报告描述了一起持续发生的“安全事件”，可能有获取支付信息的风险，但此次攻击范围比预想的严重得多。虽然该组织声称对此次事件负责，但其所称的信息尚未得到证实。此次泄露的数据可能包括一系列属于法律援助申请人的高度敏感个人信息以及法律援助机构合作的相关信息。司法部目前目前正在和国家网络安全中心合作，以保护其受感染的系统。