DriveSurge利用社会工程战术攻击数千网站

首页 > 安全钻研 > 安全传递 > 安全简讯

DriveSurge利用社会工程战术攻击数千网站

颁布功夫 2026-06-02

1.DriveSurge利用社会工程战术攻击数千网站

6月1日，，，，，，网络安全公司Silent Push最新钻研发现，，，，，，一个名为DriveSurge的威胁行为者正利用ClickFix和FakeUpdates两种社会工程技术，，，，，，在数千个被入侵的网站上发展大规模恶意软件分发活动。。。。。。。。DriveSurge重要表演初始接见代理的角色，，，，，，选取按装置付费模式，，，，，，为后续更严沉的网络攻击铺路。。。。。。。。在该攻击活动中，，，，，，受害者接见被入侵的合法网站后，，，，，，会被沉定向到一个名为zTDS的开源流量分配系统。。。。。。。。zTDS自2015年就已存在，，，，，，而DriveSurge至少从2025年9月起头使用它。。。。。。。。该系统会对每个接见者进行分析，，，，，，动态判断是展示FakeUpdates钓饵还是ClickFix钓饵更为相宜。。。。。。。。Silent Push指出，，，，，，DriveSurge利用zTDS劫持了数千个诺言优良的网站，，，，，，在网站所有者和接见者均不知情的情况下，，，，，，悄然将流量导向恶意软件分发基础设施。。。。。。。。FakeUpdates攻击通过伪造的浏览器更新提醒引诱受害者，，，，，，覆盖Chrome、Firefox、Edge、Safari、Opera、Brave、Yandex、Vivaldi、三星浏览器及UC浏览器等主流浏览器。。。。。。。。而ClickFix攻击则是一种盛行的社会工程战术，，，，，，它诱骗受害者以解决技术问题为幌子，，，，，，在系统上复造并执行恶意号令，，，，，，从而导致习染。。。。。。。。

https://www.bleepingcomputer.com/news/security/hackers-hijack-thousands-of-sites-for-clickfix-and-fakeupdate-attacks/

2. Red Hat npm遭入侵，，，，，，“Miasma”窃取开发凭证

6月1日，，，，，，近日，，，，，，一路针对Red Hat的供给链攻击导致其“@redhat-cloud-services”定名空间下的30多个npm软件包被植入后门，，，，，，传布名为“Miasma”的Shai-Hulud恶意软件新变种。。。。。。。。据统计，，，，，，这些被入侵的软件包每周下载量约达11.7万次。。。。。。。。攻击者疑似通过入侵一名Red Hat员工的GitHub帐户，，，，，，直接向多个存储库推送恶意提交。。。。。。。。这些提交增长了GitHub Actions工作流及一个剧本，，，，，，该剧本滥用npm的颁布机造，，，，，，利用OIDC令牌通过npm的可信颁布端点进行身份验证，，，，，，批量颁布带有后门的软件包版本。。。。。。。。被入侵的软件包中蕴含恶意的“preinstall”剧本，，，，，，开发者装置软件包时会自动执行一个高度混合的index.js文件（约4.2 MB），，，，，，用于窃取GitHub Actions密钥、AWS及Google Cloud凭证、Azure服务主体凭证、HashiCorp Vault令牌、Kubernetes服务账户令牌、npm和PyPI颁布令牌、SSH密钥、Docker凭证、GPG密钥以及.env文件中的敏感信息。。。。。。。。Red Hat已将受影响软件包从npm注册表中删除，，，，，，并强调这次泄露仅限于内部开发工具，，，，，，尚未发现客户或合作同伴环境及Red Hat出产系统受到任何影响，，，，，，但未注明账户被入侵的具体原因。。。。。。。。

https://www.bleepingcomputer.com/news/security/red-hat-npm-packages-compromised-to-steal-developer-credentials/

3. Dashlane遭暴力破解攻击，，，，，，用户账户被自动锁定

6月1日，，，，，，近日，，，，，，多名Dashlane密码治理服务的用户遭逢账户被锁定事务，，，，，，原因是攻击者发起了暴力破解攻击，，，，，，试图从远距离地址和未知设备登录用户账户。。。。。。。。Dashlane公司证实，，，，，，这次账户暂停是其自动化安全响应机造的一部门，，，，，，旨在预防账户被劫持。。。。。。。。事务曝光源于多名用户在Reddit上发帖，，，，，，称收到了来自国表的可疑接见要求通知邮件，，，，，，其中蕴含用于注册新设备的验证码。。。。。。。。很多用户感应猜疑，，，，，，由于他们并未提议这些要求，，，，，，一度疑惑这是针对Dashlane用户的网络垂钓攻击。。。。。。。。随后，，，，，，Dashlane在Reddit上回复称其系统是安全的，，，，，，暴力破解攻击通过陆续尝试多个密码来获取账户接见权限，，，，，，而平台会通过速度限度、验证码挑战和账户锁定等�；；；；；；；；ご胧�，，，，，，在失败尝试次数达到阈值后自动阻止此类攻击。。。。。。。。凭据Dashlane状态页面显示，，，，，，对该事务的调查于5月31日15:19 UTC启动，，，，，，至22:30 UTC被象征为“已解决”，，，，，，宣称所有受影响账户已解封。。。。。。。。6月1日07:32 UTC颁布的更新确认了同样情况，，，，，，Dashlane保障团队在监控并执行额表措施。。。。。。。。

https://www.bleepingcomputer.com/news/security/dashlane-password-manager-users-locked-out-by-brute-force-attacks/

4. Steam评论藏恶意代码，，，，，，近2000个WordPress网站习染

6月1日，，，，，，近2000个WordPress网站习染了一种新型恶意软件，，，，，，该恶意软件利用Steam社区幼我资料评论中的不私见Unicode字符暗藏号令与节造（C2）数据。。。。。。。。自2025年7月初次发现该攻击活动以来，，，，，，GoDaddy的安全工程师已在约莫1980个WordPress网站上检测到该恶意软件。。。。。。。。目前尚不明显黑客入侵这些网站的具体方式，，，，，，钻研人员以为初始习染蹊径可能蕴含：窃取治理员登录信息或泄露的FTP/SFTP痛处、利用存在缝隙的WordPress主题或插件，，，，，，或者通过供给链攻击植入恶意代码。。。。。。。。植入网站的第一阶段恶意软件利用WordPress页面加载来接见特定的Steam幼我资料，，，，，，并从看似无害的评论中提取文本。。。。。。。。然而，，，，，，这些文本中蕴含暗藏的Unicode字符，，，，，，它们承载着现实恶意载荷，，，，，，有时假装成ASCII艺术。。。。。。。。解码器会忽略所有可见字符，，，，，，将不私见字符映射为数字并转换为二进造，，，，，，最终沉建出字节。。。。。。。。解码后的有效载荷用于构建一个hello-mywordl[.]info的URL，，，，，，该URL提供假装成合法JavaScript库的恶意代码，，，，，，并注入到每个WordPress前端页面中。。。。。。。。攻击的最后阶段是植入一个后门，，，，，，该后门会响应蕴含特定身份验证cookie的POST要求，，，，，，通过POST参数接管base64编码的PHP代码。。。。。。。。

https://www.bleepingcomputer.com/news/security/wordpress-malware-campaign-hides-payloads-in-steam-profiles/

5. Windows Netlogon严沉缝隙遭活跃利用

6月1日，，，，，，比利时网络安全中心（CCB）近日发出忠告，，，，，，威胁行为者在积极利用微软最近建复的一个Windows Netlogon严沉缝隙（CVE-2026-41089）提议攻击。。。。。。。。该缝隙是微软在2026年5月“补丁星期二”活动中建复的，，，，，，被描述为Windows Netlogon服务中的基于仓库的缓冲区溢露马脚，，，，，，允许没有权限的攻击者在指标域节造器上获得远程代码执行权限。。。。。。。。攻击者只需向充任域节造器的Windows服务器发送特造的网络要求，，，，，，即可无需登录或事先获得接见权限，，，，，，在受影响的系统上运行恶意代码。。。。。。。。该缝隙影响所有当前受支持的Windows Server版本，，，，，，蕴含最新版本Windows Server 2025，，，，，，由微软内部的Windows攻击钻研与�；；；；；；；；ね哦臃⑾�。。。。。。。。CCB在周五颁布忠告称该缝隙目前已遭活跃利用，，，，，，并督促治理员立即建补存在缝隙的服务器。。。。。。。。CCB在推特上指出，，，，，，该缝隙的CVSS 3.1评分为9.8，，，，，，属于严沉级别。。。。。。。。然而，，，，，，CCB并未提供有关这些持续攻击的具体细节，，，，，，也没有回应媒体进一步信息的要求。。。。。。。。微软尚未更新其安全布告，，，，，，也未确认该缝隙是否已被活跃利用。。。。。。。。

https://www.bleepingcomputer.com/news/microsoft/critical-windows-netlogon-remote-code-execution-flaw-now-exploited-in-attacks/

6. 朝鲜黑客借虚伪Zoom更新攻击加密钱币与Web3行业

6月1日，，，，，，凭据SpiderLabs的最新汇报，，，，，，一个被归罪于朝鲜黑客组织Sapphire Sleet的恶意软件攻击活动，，，，，，在专门针对加密钱币组织、风险投资公司和Web3开发人员。。。。。。。。攻击流程始于黑客通过LinkedIn、Telegram、电子邮件或其他专业平台联系指标组织的成员，，，，，，假意招聘人员、投资者或贸易同伴。。。。。。。。一旦成立初步信赖关系，，，，，，攻击者便会提议进行视频会议。。。。。。。。然而在会议起头前，，，，，，受害者会被批示装置一个所谓的“Zoom SDK更新”。。。。。。。。现实下载的文件并非合法更新，，，，，，而是一段恶意的AppleScript剧本，，，，，，该剧本随即启动一个多阶段的习染链。。。。。。。�；；；；；；；；竦贸跏冀蛹ㄏ藓�，，，，，，恶意软件会批示受信赖的macOS组件下载额表的有效载荷，，，，，，以实现悠久化接见并绕过安全节造措施。。。。。。。。同时，，，，，，它会定期与号令与节造服务器通讯。。。。。。。。接下来，，，，，，一个名为systemupdate.app的虚伪利用法式会弹出一个看似macOS原生身份验证窗口的提醒，，，，，，用于窃取用户的登录密码。。。。。。。。在实现环境探测和权限获取后，，，，，，恶意软件起头搜索受习染设备中有价值的信息，，，，，，指标蕴含：加密钱币软件钱包、本地浏览器扩大数据、Telegram会话信息、本地SSH密钥以及Apple Notes中的未加密纪录。。。。。。。。所有这些被窃取的数据随后会被打包压缩，，，，，，并发送到朝鲜节造的服务器。。。。。。。。

https://cybernews.com/security/north-korean-hacker-macos-malware/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研