文章总结： 近期网络安全事件频发，白俄罗斯APT组织GhostWriter利用乌克兰教育平台诱饵攻击政府机构；全球约250款安卓恶意应用通过订阅付费服务实施计费诈骗；黑客利用微软已停用工具MSHTA进行无文件攻击；CISA误公开GitHub储存库致844MB机密资料泄露；Megalodon恶意软件感染超5500个GitHub仓库；Drupal核心严重漏洞威胁PostgreSQL网站远程代码执行；思科修复CVSS10.0分漏洞避免数据泄露；Nginx0-day漏洞nginx-poolslip威胁数百万服务器安全。 综合评分： 78 文章分类： 威胁情报,恶意软件,漏洞预警,数据安全,云安全

白俄罗斯关联APT组织Ghostwriter利用乌克兰教育平台作诱饵，攻击政府机构

SOC SOC

赛欧思安全研究实验室

2026年5月25日 09:40 河南

在小说阅读器读本章

去阅读

• 发现一款安卓恶意软件在未经受害者同意的情况下为其订阅付费服务

  一场全球性的移动计费诈骗活动正以安卓用户为目标，通过在用户不知情的情况下将其订阅昂贵的增值短信服务来实施诈骗。披露此次攻击活动的 Zimperium zLabs 已识别出约 250 款参与该行动的恶意应用。

  来源: HackRead

• 微软已停用的 IE 工具 MSHTA 现正被用于无文件恶意软件攻击

  Bitdefender 的最新研究显示，黑客正利用一款名为 MSHTA 的旧版 Windows 工具向系统植入恶意软件。威胁行为者正积极将该工具作为“利用现有系统资源的二进制文件”（LOLBIN）加以滥用，使其伪装成合法的管理任务，从而实施无文件攻击。

  来源: HackRead

• CISA 暴露的 GitHub 储存库公开 844MB 机密资料

  美国 CISA 被发现在 GitHub 不慎公开一个原应设为限制私有的储存库 Private-CISA，导致大量机密资料暴露。Private-CISA 储存库的资料量为 844MB，内含明文密码、AWS 凭证，以及 Entra ID 的 SAML 凭证，这些资料都属于 CISA。

  来源: iThome

• Megalodon 恶意软件迅速感染了 5500 多个 GitHub 仓库

  一项名为 “Megalodon” 的新发现恶意软件攻击活动已入侵超过 5500 个 GitHub 仓库，该恶意软件通过隐藏在看似合法的项目中的恶意代码注入进行传播，目标是那些在不知情的情况下下载并执行受感染文件的开发者。

  来源: GBHackers

• Drupal 核心存在严重漏洞，使 PostgreSQL 网站面临远程代码执行攻击风险

  Drupal 已针对 Drupal Core 中一个“高度严重”的安全漏洞发布了安全更新，漏洞目前被追踪为 CVE-2026-9082，CVSS 评分为 6.5。该漏洞允许攻击者发送经过特殊构造的请求，导致使用 PostgreSQL 数据库的网站发生任意 SQL 注入。

  来源: The Hacker News

• 思科修复了 CVSS 10.0 评分的安全工作负载 REST API 漏洞，该漏洞可能导致数据泄露

  思科已针对影响 Secure Workload 的最高严重级别安全漏洞发布了更新，该漏洞可能允许未经身份验证的远程攻击者访问敏感数据。该漏洞编号为 CVE-2026-20223（CVSS 评分：10.0），源于访问 REST API 端点时验证和身份验证不足。

  来源: The Hacker News

• 新的 NGINX 0-day 远程代码执行漏洞 “nginx-poolslip” 威胁着数百万台服务器

  NGINX 中一个新发现的 0day 漏洞，代号为 “nginx-poolslip”，它使数百万台服务器面临潜在的远程代码执行（RCE）攻击风险。漏洞存在于 NGINX 的内部内存池管理机制中，据报道，攻击者可利用此漏洞实现未经身份验证的远程代码执行，这可能导致系统完全被攻破。

  来源: GBHackers

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛欧思安全研究实验室 SOC SOC《白俄罗斯关联APT组织Ghostwriter利用乌克兰教育平台作诱饵，攻击政府机构》