文章总结： 2026年5月14日安全简讯披露多起重大安全事件：RubyGems因恶意包攻击暂停新用户注册；伊朗黑客组织MuddyWater对多国企业实施网络间谍；OpenLoopHealth数据泄露影响71.6万人；Exim邮件代理存在远程代码执行漏洞CVE-2026-45185；泰雷兹集团与BBVA银行相继发生敏感数据泄露。事件涉及供应链攻击、零日漏洞利用及数据安全风险，建议相关用户及时更新补丁并加强身份监控。 综合评分： 78 文章分类： 漏洞预警,数据安全,恶意软件,供应链安全,安全大事件

安全简讯（2026.05.14）

启明星辰安全简讯

2026年5月14日 16:54 北京

在小说阅读器读本章

去阅读

1. RubyGems遭垃圾软件包攻击，暂停新用户注册

5月13日，Ruby编程语言的官方Gem托管服务RubyGems.org近日因遭受大规模网络攻击，已暂停新帐户注册。5月12日，RubyGems维护者宣布由于DDoS攻击，注册功能被暂时关闭。截至近24小时后，注册功能仍然处于禁用状态，且预计可能继续关闭2至3天，直到账户创建速率限制得到加强、Web应用防火墙（WAF）保护被启用。据RubyGems维护者透露，该服务成为了一场“垃圾邮件活动”的目标，该活动中攻击者利用机器人账户推送了500多个垃圾软件包，其中包括携带漏洞利用程序的恶意包。这些恶意软件包已被从注册表中删除，现有软件包未受影响。目前对该事件的调查仍在进行中，但从现有信息来看，最终用户似乎并非攻击的主要目标。RubyGems在其状态页面上明确表示，现有用户仍可正常进行Gem安装和推送，这些核心操作不受影响。RubyGems安全团队的Maciej Mensfeld在社交平台X上发文指出，此次攻击似乎直接针对RubyGems平台本身，攻击者试图实施跨站脚本（XSS）攻击和数据窃取。

https://www.securityweek.com/hundreds-of-malicious-packages-force-rubygems-to-suspend-registrations/

2. MuddyWater对多国知名组织发起网络间谍活动

5月13日，与伊朗有关联的黑客组织MuddyWater（又名Seedworm、Static Kitten）近期展开了一场广泛的网络间谍活动，目标涵盖多个行业和国家的至少九个知名组织。受害者包括韩国一家大型电子产品制造商、政府机构、中东某国际机场、亚洲的工业制造商及教育机构等。赛门铁克的研究人员透露，该威胁行为者于2026年2月在一家韩国大型电子产品制造商的网络中驻留了整整一周。赛门铁克威胁猎手团队认为，此次攻击以情报为导向，攻击者专注于窃取工业和知识产权、进行政府间谍活动，以及获取下游客户或企业网络的访问权限。攻击者使用了两个合法二进制文件：一个是Foremedia的音频实用程序“fmapp.exe”，另一个是SentinelOne的合法组件“sentinelmemoryscanner.exe”。与之对应的恶意DLL则包含后渗透工具ChromElevator，用于窃取存储在基于Chrome的浏览器中的数据。赛门铁克还发现，尽管有效载荷是通过Node.js加载器而非直接控制，但PowerShell在最近的事件中仍然被大量使用，用于捕获屏幕截图、进行侦察、获取其他有效载荷、建立持久性、窃取凭据和创建SOCKS5隧道。

https://www.bleepingcomputer.com/news/security/iranian-hackers-targeted-major-south-korean-electronics-maker/

3. OpenLoop Health遭黑客入侵，71.6万人信息泄露

5月13日，远程医疗平台OpenLoop Health今年1月遭遇黑客入侵，导致约71.6万人的个人信息被窃取。该事件最初于3月向有关当局披露，但受影响人数直到本周才被添加到美国卫生与公众服务部的违规事件门户网站上。该公司表示，黑客在1月7日至1月8日期间入侵了其系统，窃取的信息包括姓名、地址、电子邮件地址、出生日期和医疗数据等个人敏感信息。值得注意的是，通知信中明确表示：“此次事件不涉及访问您的电子健康记录、社会保障号码或财务账户信息。”这意味着最核心的敏感凭证并未在此次攻击中泄露。事件发生后，OpenLoop Health立即采取了应对措施，终止了未经授权的访问，并在外部网络安全专家的协助下展开全面调查。与此同时，该公司还加强了安全控制措施，并与执法部门进行了协调配合。该公司为受影响的用户提供了一年的免费身份和信用监控服务，以帮助降低潜在风险。今年早些时候曾有一名威胁行为者声称对此次攻击负责，并宣称其窃取了160万人的信息。

https://www.securityweek.com/716000-impacted-by-openloop-health-data-breach/

4. Exim曝严重漏洞，可致未授权远程代码执行

5月13日，广泛部署的开源邮件传输代理Exim被曝存在一个严重安全漏洞，编号为CVE-2026-45185。该漏洞影响部分使用默认GNU传输层安全库进行安全通信的Exim版本（4.99.3之前），未经身份验证的远程攻击者可以利用该漏洞执行任意代码。这是一个典型的释放后使用漏洞，在处理BDAT分块SMTP流量时，TLS关闭期间会被触发。具体而言，Exim释放了一个TLS传输缓冲区，但随后继续使用过时的回调引用，这些引用可将数据写入已释放的内存区域，从而导致未经身份验证的远程代码执行。该漏洞由XBOW研究员Federico Kirschbaum发现并报告，影响使用GnuTLS编译且启用了STARTTLS和CHUNKING的Exim版本4.97至4.99.2。基于OpenSSL的版本不受影响。利用此漏洞的攻击者可以在服务器上执行命令，访问Exim数据和电子邮件，并有可能根据服务器权限和配置进一步渗透到内部环境中。XBOW于5月1日向Exim维护人员报告了该漏洞，5月5日收到确认，受影响的Linux发行版在三天后也接到了通知。目前，Exim已在版本4.99.3中发布了针对CVE-2026-45185的修复补丁。

https://www.bleepingcomputer.com/news/security/new-critical-exim-mailer-flaw-allows-remote-code-execution/

5. 泰雷兹集团关联数据泄露，引发身份基础设施担忧

5月13日，据称与北约关联的法国国防巨头泰雷兹集团有关的数据集出现在知名网络犯罪论坛上，仅包含两条记录的样本，但这一事件已引发外界对欧洲各国政府所使用的敏感身份基础设施可能遭到入侵的新的广泛担忧。泰雷兹集团是全球领先的国防电子和航空航天企业，年收入达258亿美元，拥有超过85000名员工，对法国和北约而言具有战略性关键意义。审查了数据样本的研究人员表示，数据格式与第三方或面向客户的数据集更为一致，而非LuxTrust自身的内部系统。样本中包含了全名、电子邮件地址以及一个“公司”字段，这表明数据很可能来自提供商的基础设施而非LuxTrust的原始内部数据。研究人员指出，这种结构更像是通过外部服务层或合作伙伴平台处理的数据。由于LuxTrust作为总部位于卢森堡的数字身份提供商，其业务涉及政府、金融和企业身份验证，即便只是用户身份数据的有限泄露，也可能带来不成比例的严重风险，尤其是在网络钓鱼和社会工程攻击方面。

https://cybernews.com/security/thales-group-luxtrust-data-breach/

6. BBVA银行客户数据再遭泄露，黑客论坛公开出售

5月12日，西班牙对外银行（BBVA）墨西哥客户的数据集再次出现在黑客论坛上，引发了外界对这家全球最大银行集团之一安全状况的长期担忧。BBVA已从一家西班牙贷款机构发展成为欧洲最大的金融巨头之一，总资产超过8130亿欧元，业务遍及25多个国家，拥有约12.7万名员工和超过7700万活跃客户。近期在一家知名黑客论坛上出现的清单包含13条记录，其中含有个人身份信息，据称泄露的数据包括全名、电话号码、部分家庭住址以及银行卡到期日。研究人员表示，虽然样本有限，但其格式与之前流传的BBVA泄露数据不同，表明这可能不仅仅是对旧数据的重新利用。此类数据一旦落入攻击者手中，就可能被用来精心策划社会工程攻击，从而危及银行客户的账户安全。目前，该数据集的来源和真实性仍未得到证实。在过去几年中，BBVA多次出现在地下网络犯罪讨论中，尤其是在涉及BBVA墨西哥的涉嫌数据泄露事件中。

https://cybernews.com/security/bbva-mexico-data-leak-forum/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：启明星辰安全简讯 《安全简讯（2026.05.14）》