ShopifyShop应用被利用推送虚假发票,电商用户遭精准诈骗

admin 2026-06-30 08:41:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文汇总了2026年6月29日信息安全领域多起重要安全事件,涵盖SplunkPostgreSQLSidecar未认证RCE漏洞(CVE-2026-20253)、Linux内核DirtyClone提权漏洞(CVE-2026-43503)、新型云存储桶劫持攻击、AmazonQAI编程助手漏洞、Bluekit钓鱼即服务平台活动、针对美欧水务系统的攻击、GiftedCrook恶意软件利用WinRARADS窃密、ShopifyShop应用被利用推送虚假发票诈骗电商用户,以及AnthropicClaudeMythos5AI模型重新部署至美国关键基础设施组织等。文章提供了包括升级软件、限制访问权限、审查配置、加强认证措施在内的具体安全建议。 综合评分: 85 文章分类: 漏洞预警,威胁情报,恶意软件,安全意识,安全运营


cover_image

Shopify Shop 应用被利用推送虚假发票,电商用户遭精准诈骗

汇能云安全

2026年6月29日 11:24 广东

在小说阅读器读本章

去阅读

629日,星期一,您好!中科汇能与您分享信息安全快讯:

01

Splunk PostgreSQL Sidecar 曝 CVSS 9.8 未认证 RCE,PoC 发布 6 天即遭野外利用

Splunk Enterprise 的 PostgreSQL Sidecar Service 恢复端点被曝存在未认证远程代码执行漏洞(CVE-2026-20253),CVSS 评分高达 9.8。根因并非复杂逻辑缺陷,而是该端点压根没有编写认证检查机制。PoC 发布仅 6 天后,安全研究人员已确认该漏洞在野外被实际利用。Splunk 作为企业级 SIEM 和日志分析平台,广泛部署于金融、政府、能源等关键行业,一旦被攻破,攻击者可直接控制日志基础设施,篡改安全告警、清除入侵痕迹,甚至以此为跳板横向渗透整个内网。建议立即检查 Splunk Enterprise 版本,升级至官方修复版本;若无法立即升级,应通过网络 ACL 限制 Sidecar Service 端口的外部访问;审计近期 Splunk 日志中是否有异常 API 调用记录。

02

DirtyClone:Linux 内核新型提权漏洞,Root 权限获取不留任何审计痕迹

JFrog 安全研究团队在审计 DirtyFrag 补丁链时发现新 变种 DirtyClone(CVE-2026-43503,CVSS 8.8)。该漏洞利用 Linux 内核 XFRM/IPsec 子系统中克隆网络数据包的处理缺陷,允许非特权本地用户通过操纵 SKBFL_SHARED_FRAG 标志获取完整 Root 权限。最危险的是,整个提权过程不会在内核日志或 audit 审计记录中留下任何痕迹,传统的 EDR 和 HIDS 几乎无法检测。DirtyClone 属于 DirtyFrag 漏洞家族的最新变种,此前的 Copy Fail、DirtyFrag、Fragnesia 等漏洞共享相似的利用原语。这意味着仅修补原始 DirtyFrag(CVE-2026-43284)远远不够,必须应用完整补丁链。

03

新型 “桶劫持” 攻击曝光,黑客可悄无声息重定向企业云端数据流

安全研究人员发现了一种被称为 “桶劫持”(Bucket Hijacking)的新型云存储攻击技术,攻击者可以悄无声息地将企业正在使用的云端数据流重定向到外部存储。这种攻击的危险之处在于它的隐蔽性 —— 企业完全不知道自己的数据已经被复制到了攻击者的服务器上。传统的云安全检测工具很难发现这种异常,因为数据流看起来仍然是正常的 S3 或 Azure Blob 操作。该攻击手法对所有使用云存储的企业构成直接威胁,特别是那些依赖实时数据同步的金融、医疗和电商企业。建议企业立即审查云存储的访问策略和数据流向,启用存储桶的访问日志监控,检查是否存在未授权的跨账户数据传输。

04

Amazon Q AI 编程助手漏洞曝光,攻击者可在 VS Code 中执行任意代码

亚马逊的 AI 编程助手 Amazon Q Developer 扩展被曝存在高危漏洞,攻击者可利用该漏洞在 Visual Studio Code 中执行任意代码并访问敏感的云环境。Amazon Q 是亚马逊推出的 AI 编程工具,深度集成到开发者的日常工作流程中,一旦被攻破,攻击者不仅能窃取源代码,还能通过扩展的云权限访问 AWS 资源、数据库凭证和部署密钥,该漏洞再次暴露了 AI 开发工具供应链的安全风险 —— 开发者安装的每一个扩展都可能成为攻击入口。建议所有使用 Amazon Q 扩展的开发者立即更新到最新版本,审查扩展的权限配置,考虑在敏感项目中限制 AI 扩展的访问范围。

05

Linux 内核 pedit COW 漏洞组合利用实现 root 提权,多发行版受影响

安全研究人员披露了一个结合了 Copy-on-Write 页面缓存损坏漏洞和 net/sched 子系统 act_pedit 组件的新攻击手法,允许未授权的本地攻击者在多个主流 Linux 发行版上实现完整的 root 权限提升。该攻击利用了两个独立漏洞的组合效应,单独来看每个漏洞的危害有限,但组合在一起就形成了一个高效稳定的提权链。这种漏洞组合利用技术正在成为攻击者的主流手法,因为单一漏洞的利用难度越来越大,但组合利用可以绕过大多数安全防护。建议立即更新 Linux 内核到最新版本,同时检查 net/sched 子系统的配置,限制未授权用户的网络调度器访问权限。

06

Bluekit 钓鱼即服务平台大规模运作,一周内检测到 70 个活跃钓鱼站点

一个名为 Bluekit 的高级钓鱼即服务(PhaaS)平台被确认正在大规模运作,网络安全公司 Netcraft 在一周内就检测到了约 70 个活跃的钓鱼主机名。该平台专门针对微软登录凭证,能够绕过多因素认证(MFA)保护,其技术成熟度和运营规模已经达到了企业级水平。PhaaS 平台的出现意味着发起钓鱼攻击的门槛大幅降低 —— 即使是没有任何技术能力的犯罪分子也可以购买服务发起高质量的钓鱼攻击。企业应立即加强 MFA 配置,考虑部署 FIDO2 硬件密钥等抗钓鱼认证方式,同时更新邮件安全网关的钓鱼检测规则。

07

黑客利用弱密码和暴露 PLC 攻击美欧水务系统,关键基础设施安全告急

黑客正在系统性地攻击美国和欧洲的水务系统,利用暴露在互联网上的工控设备和弱密码登录获取战略立足点,为后续破坏行动做准备。水务系统是关键基础设施中最脆弱的环节之一,大量老旧的 PLC 控制器仍然使用默认密码或根本没有密码保护,直接暴露在互联网上。攻击者可以远程操控水处理流程、修改化学添加剂剂量甚至完全关停供水系统。此前美国佛罗里达州 Oldsmar 水厂事件就曾暴露过类似风险。建议水务和其他关键基础设施运营方立即审计互联网暴露面,修改所有默认密码,将工控系统与互联网物理隔离,部署专门的 OT 安全监控方案。

08

GIFTEDCROOK 恶意软件利用 WinRAR ADS 机制窃取浏览器凭证和文档

乌克兰 CERT 披露了代号 UAC-0226 的攻击活动,攻击者使用精心构造的 WinRAR 压缩包结合 NTFS 备用数据流(ADS)技术投递 GIFTEDCROOK 恶意软件,专门窃取浏览器凭证、Cookie 和敏感文档。该攻击链条的技术含量相当高 —— 利用 ADS 隐藏恶意代码使得传统杀毒软件难以检测,而 WinRAR 作为企业日常使用的工具又降低了受害者的警惕性。该攻击主要针对乌克兰相关组织,但其技术手法可能很快被其他攻击者复制。建议企业限制 WinRAR 等压缩工具的使用,启用 ADS 扫描检测功能,对来自不明来源的压缩文件保持高度警惕。

09

Shopify Shop 应用被利用推送虚假发票,电商用户遭精准诈骗

黑客利用 Shopify 的订单追踪应用 Shop 在用户的订单历史中注入虚假发票,诱骗用户拨打诈骗客服电话处理根本不存在的账单。这种攻击手法非常狡猾 —— 虚假发票直接出现在用户信任的 Shop 应用界面中,与真实订单混在一起,普通用户很难分辨真假。当用户拨打发票上的 “客服电话” 后,诈骗分子会以退款为由索要银行卡信息或远程控制权限。该事件暴露了电商平台第三方应用生态的安全隐患。建议 Shopify 用户仔细核对订单详情和商家信息,遇到可疑发票直接通过 Shopify 官方渠道联系商家,不要拨打发票上显示的电话号码。

10

Anthropic 确认 Claude Mythos 5 重新部署至美国关键基础设施组织

Anthropic 正式确认其最强大的 AI 网络安全模型 Claude Mythos 5 将重新部署到一组经过筛选的美国关键基础设施运营和防御组织,此前该模型在 6 月 12 日被政府主导的审查流程临时下架,原因是安全评估需要。此次重新部署意味着美国政府对 AI 在关键基础设施安全领域的应用态度发生了重大转变 —— 从观望转向实战部署。Claude Mythos 5 将被用于威胁检测、漏洞分析和安全运营自动化等核心场景,这标志着 AI 正式进入国家级网络安全防御体系。该事件也将深刻影响全球 AI 安全政策走向,其他国家可能效仿将 AI 模型部署到关键基础设施防护中。

信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有,如有侵权请联系我们及时删除


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:汇能云安全 《Shopify Shop 应用被利用推送虚假发票,电商用户遭精准诈骗》

评论:0   参与:  0