文章总结： 本文概述了2026年5月21日信息安全领域的关键动态，涵盖多种新型攻击手法与漏洞。重点包括Microsoft官方PythonSDK遭供应链投毒、Void僵尸网络利用以太坊智能合约实现去中心化C2以增强抗查封能力、PinTheftLinux本地提权漏洞POC公开、DevilNFC安卓木马通过NFC中继攻击锁定用户界面、FreePBX高危漏洞暴露用户门户、ExifTool漏洞可通过图片元数据在macOS执行命令、Go模块单字母仿冒进行供应链攻击、Trapdoor安卓广告欺诈应用大规模传播、PardusLinux更新组件漏洞链导致无密码提权，以及假冒税务评估页面投递远控工具的攻击活动。文章针对每个威胁提供了具体的缓解与应对建议，强调了对供应链安全、终端行为监控、漏洞补丁管理和用户安全意识教育的综合防护需求。 综合评分： 85 文章分类： 漏洞预警,威胁情报,恶意软件,供应链安全,安全运营

Void Botnet 用以太坊智能合约做 C2，僵尸网络开始“去中心化抗查封”

汇能云安全

2026年5月21日 10:24 广东

在小说阅读器读本章

去阅读

5月21日，星期四，您好！中科汇能与您分享信息安全快讯：

01

Microsoft 官方 Python 包被投毒，供应链攻击已经打进云工作流开发链

Microsoft 官方 Python 工作流 SDK durabletask 被攻击者连续投毒。公开信息显示，受影响版本包括 1.4.1、1.4.2 和 1.4.3，恶意载荷会窃取 AWS、Azure、GCP、Kubernetes、Vault、Bitwarden、1Password 等凭据，还会通过 AWS SSM 和 Kubernetes 继续横向传播。这个事件的危险点在于，它不是小众野包，而是官方 SDK，一旦进入 CI/CD 或云自动化环境，后果会直接触碰云权限和生产流水线。开发团队应立即排查依赖版本、CI 日志和 Linux 主机临时目录，并把相关云密钥、服务账号和包发布凭据视为已泄露处理。

02

PinTheft PoC 公开，Linux 本地提权漏洞又进入可复制利用阶段

PinTheft 是今天 Linux 安全里非常值得关注的漏洞，研究人员已经公开 PoC，攻击者可利用 RDS zerocopy double-free 与 io_uring 机制，逐步窃取页面引用计数，最终篡改 SUID-root 二进制文件的页缓存，让普通用户拿到 root shell。它的危险不在于作为初始入口，而在于后渗透阶段的提权价值很高：攻击者一旦通过弱口令、Web 漏洞或钓鱼进入服务器，就可能借此扩大权限。管理员应尽快安装发行版内核补丁；如果 RDS 模块不必要，可临时禁用 rds、rds\_tcp，并重点检查异常 SUID 文件执行、io_uring 使用和低权限账号异常活动。

03

DevilNFC 把手机锁进假银行界面，NFC 中继攻击开始更贴近普通用户

DevilNFC 这类 Android 木马值得引发重视，因为它把银行盗刷从“后台技术攻击”变成了非常真实的用户交互骗局。攻击者通过短信或 WhatsApp 发送链接，诱导用户进入仿冒 Google Play 页面，安装所谓“银行安全更新”。木马运行后会启用 Kiosk 模式隐藏系统界面、禁用返回键，把用户锁在假银行验证页里，并诱导用户贴卡、输入 PIN，随后攻击者通过 NFC 中继完成线下 ATM 或 POS 交易。它的核心不是单纯偷密码，而是劫持“手机 + 银行卡 + 用户动作”的完整支付链。用户不要通过短信链接安装银行 App，也不要在非主动交易场景输入银行卡 PIN。

04

Void Botnet 用以太坊智能合约做 C2，僵尸网络开始“去中心化抗查封”

Void Botnet 的新变化很值得关注：攻击者不再只依赖传统 C2 服务器，而是把命令写进以太坊智能合约，让受感染主机定期读取链上指令。这样一来，防守方不能简单通过封域名、关服务器、联系注册商来切断控制链。该僵尸网络以 Rust 编写，支持 DDoS、凭据窃取、代理服务、内存执行、PowerShell 任务和反向 Shell，还能在直连模式和链上模式之间切换。它说明黑产正在追求更强的“抗摧毁能力”。企业应加强终端行为监控、异常 DNS/区块链访问检测，以及 Botnet 流量和 DDoS 防护，而不是只盯传统 C2 域名。

05

FreePBX 高危漏洞暴露用户门户，默认凭据问题仍在反复打穿企业系统

FreePBX 被披露 CVE-2026-46376 高危漏洞，CVSS v4 评分 9.1。问题出在 UCP 用户控制面板的 userman 模块，部分模板中存在硬编码样例凭据，如果管理员部署后没有及时修改，就可能让未认证攻击者直接访问用户门户。FreePBX 常用于企业 IP PBX、呼叫中心和内部通信系统，一旦门户被入侵，攻击者可能读取用户数据、修改配置，甚至为后续电话诈骗和内部钓鱼提供条件。管理员应升级到 16.0.45 或 17.0.7 及以上版本，同时检查是否存在默认账号、弱口令、异常登录和未知用户配置变更。

06

ExifTool 漏洞可用一张图片打穿 macOS，图片元数据处理也不能默认可信

ExifTool 是大量图片处理、取证、媒体管理和自动化脚本都会用到的元数据工具。最新披露的 CVE-2026-3102 表明，攻击者可把恶意命令藏进图片元数据中，在 macOS 环境下诱导 ExifTool 处理该图片，从而执行任意 Shell 命令。它的危险点在于攻击载体看起来只是一张普通图片，尤其对摄影、媒体、设计、新闻、内容审核和数字资产管理系统来说风险更高。官方已在 ExifTool 13.50 修复该问题。企业应升级 ExifTool，排查第三方软件是否内置旧版本，并将不可信图片处理任务放入隔离环境中执行。

07

Go 模块单字母仿冒潜伏多年，DNS 后门藏进金融计算依赖

Go 生态发现一个非常典型的 typosquatting 供应链攻击：恶意模块 github.com/shopsprint/decimal 只比合法库 github.com/shopspring/decimal 少差一个字母，却长期伪装成金融、计费、加密货币项目常用的高精度 decimal 计算库。恶意版本 v1.3.3 会在 init() 中启动 DNS TXT 记录轮询，每五分钟读取攻击者下发的系统命令。更麻烦的是，即使原始 GitHub 账号删除，Go Module Proxy 仍会缓存已发布版本，导致恶意包仍可能被拉取。开发团队应检查 go.mod、go.sum，确认是否引用 shopsprint/decimal，并轮换受影响主机上的 Git、云、SSH 凭据。

08

Trapdoor 安卓广告欺诈波及 455 个恶意 App，普通工具软件也可能变成黑产变现入口

Trapdoor 是一场规模很大的 Android 广告欺诈行动，研究人员发现，攻击者通过 455 个恶意 App 传播，累计下载量超过 2400 万次，峰值一天制造 6.59 亿次虚假广告竞价请求。这些 App 通常伪装成 PDF 阅读器、文件管理器、手机清理工具等普通应用，初始版本保持“干净”以通过审核，随后通过假更新提示诱导用户安装第二阶段恶意 App。最终恶意程序在隐藏浏览器窗口里自动加载广告并模拟点击，为攻击者获利。虽然它不是传统勒索或窃密，但它说明移动端黑产正把“无害工具”做成长期变现通道。用户应避免安装陌生开发者的工具类 App，并及时卸载不常用软件。

09

Pardus Linux 更新组件漏洞可无密码提权，多个小配置错误叠加成系统接管

Pardus Linux 被披露一条本地提权漏洞链，CVSS 评分 9.3。该问题不是单个漏洞，而是 Polkit 策略配置、CRLF 注入和不可信文件路径处理三类问题叠加，攻击者可通过更新组件写入恶意 APT 源，再触发 root 权限安装恶意 .deb 包，最终设置 /bin/bash 的 SUID 位并获得 root shell。Pardus 在土耳其政府、教育和企业环境中部署较多，因此共享主机和多用户环境风险更高，管理员应收紧 Polkit 策略，过滤配置写入中的回车换行字符，限制 APT 源路径，并尽快应用修复。

10

假税务评估页面投递远控工具，攻击者越来越擅长伪装“正式通知”

TAX#TRIDENT 攻击活动利用假冒印度税务评估页面感染 Windows 系统。受害者进入仿冒站点后，会看到看似正式的税务文件下载按钮，实际下载的是恶意 ZIP、VBScript 或合法远控工具安装包。部分攻击链会安装签名远程管理客户端，另一路会将设备注册到攻击者控制的 ManageEngine UEMS 服务器。它的危险点不是漏洞复杂，而是诱饵足够真实：税务、罚款、审计、财务通知本身就容易制造紧迫感，企业应提醒财务、法务、HR 和管理层不要通过陌生链接下载税务文件，并监控非标准路径运行的 svchost.exe、UAC 策略被关闭以及异常远控客户端安装行为。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：汇能云安全 《Void Botnet 用以太坊智能合约做 C2，僵尸网络开始“去中心化抗查封”》