由用户递交的软件仓库 Arch User Repository(AUR)最近遭遇了大规模恶意攻击，攻击者创建了一系列新账号，然后通过这些账号接管无人维护的软件包（被称为 orphaned packages），植入恶意代码，推送恶意更新。Arch 项目的维护者现已关闭了新用户注册，正在讨论如何处理这些被恶意滥用的无人维护软件包。AUR 中的软件包由用户递交，其他用户可通过搜索下载 PKGBUILD 文件、解依、编译、安装和更新软件。它不提供软件的二进制版本。目前 AUR 中有逾 107,000 个软件包，其中近 14,000 个无人维护可供认领。任何注册用户都可以认领和修改无人维护的软件包。它提供的软件包未经审核，风险由用户自己承担。其它 Linux 发行版也都有类似的软件仓库，如 Fedora 的 Copr，openSUSE 的 Open Build Service (OBS)，Ubuntu 的 Personal Package Archives (PPA)。但这些服务与 AUR 有显著区别：它们提供了类似官方软件包的构建环境，而且不允许预编译二进制文件或私有软件。AUR 的规定过于宽松而在这次攻击中遭到了滥用。

巴西政府称周六上午巴西多州的手机收到了一条未经授权的“极端”类别警报短信，其中包含文字 misantropi4。该单词将葡萄牙语 misantropia 的最后一个字母 a 替换为 4，这是黑客常用的做法。misantropia 的意思是厌恶人类。巴西的紧急短信系统类似美国的 AMBER Alert，允许政府官员直接向特定地理区域内的移动设备发送紧急短信。巴西政府表示其 National Civil Defense 警报平台已经下线，它认为这是一次黑客攻击，正对此展开调查。

三个微软在 2011 年颁发的安全启动 (Secure Boot) 证书将于 6 月 24 日过期。安全启动检查系统启动期间加载的所有固件的数字签名，确保其来自可信提供商。安全启动旨在设计阻止会纂改 UEFI 的恶意程序 UEFI bootkits，一旦安装此类恶意程序很难检测到，即使重装系统也没用。安全启动使用加密签名确保启动过程中加载的每个固件都受到计算机制造商的信任，它旨在建立信任链，防止攻击者用恶意固件替换预期的启动固件。但在 2023 年研究人员发现了存在于几乎所有 Windows 和 Linux 系统 UEFI 启动过程中的严重漏洞 LogoFail。该漏洞存在于启动时显示硬件制造商徽标的软件中，攻击者能利用其图像解析 bug 绕过安全启动，用恶意固件感染 UEFI。微软因此移除了三个在 2011 年颁发的旧证书，用 2023 年颁发的新证书取代。Windows 用户可通过 Windows 安全设置 > 设备安全性 > 安全启动 去检查证书是否已经更新。Linux 用户可关注名叫 shim 的程序更新。

勒索组织 FulcrumSec 宣称入侵了制药巨头诺和诺德（Novo Nordisk）的网络，窃取了约 1.3 TB 的数据，包括源代码、药物研究、临床试验记录、员工和医生信息、生产系统信息以及内部 AI 模型数据。它向诺和诺德勒索 2500 万美元赎金，但未获成功，因此考虑出售部分数据。FulcrumSec 称诺和诺德的代表于 6 月 3 日联系了他们。FulcrumSec 表示考虑通过开源来遏制企业不想支付赎金的情况。诺和诺德发言人表示它正与相关机构保持联系。

俄罗斯安全公司卡巴斯基对中俄 Steam 用户发出警告，恶意墙纸正在 Steam 创意工坊快速扩散，其目的是劫持他们的账号。攻击者利用了热门墙纸应用 Wallpaper Engine 创意工坊分享功能的漏洞，恶意程序隐藏在分享的壁纸包中。运行被感染的壁纸会导致 Steam 账号被盗，或者系统被植入后门或加密货币挖矿程序。安全研究人员在创意工坊发现了数十款恶意壁纸，每一款都被下载了数千次，甚至数万次。黑客主要针对中国 Steam 用户，墙纸的艺术风格和标题都专门针对中国玩家量身定制，中国玩家的下载量最多，占到了总下载量的  89.4%，其次是俄罗斯的 5.5%，新加坡 (1.4%)、香港 (0.9%)、德国 (0.9%)、越南 (0.9%)、印度 (0.5%) 和加拿大 (0.5%)。Steam 目前已经移除了包含恶意程序的墙纸。

curl 项目维护者 Daniel Stenberg 宣布，curl 将于 7 月 1 日至 8 月 3 日期间暂停接收漏洞报告，除非提交者拥有付费支持合同。他称之为“curl 的极乐夏日”。Stenberg 称过去四个月一直承受着巨大的压力，他们需要休息一下。GitHub 上的项目 issue 和 pull-request 保持开放，curl 8.22.0 的发布日期推迟两周至 2026 年 9 月 2 日发布。

Arch Linux 项目的用户软件仓库 Arch User Repository(AUR)上周遭遇了大规模恶意攻击，在处理了逾 1500 个软件包之后开发者认为问题已经得到了控制。然而仅仅过了一天，AUR 遭遇了新一轮的恶意攻击，这一次攻击者使用了代码混淆技术掩盖其意图。AUR 是用户贡献的软件包库，并非官方软件库，Arch Linux 项目可能需要暂时下线 AUR 以免遭遇一轮又一轮的恶意攻击。

邪恶女佣攻击（Evil maid attack）是对无人值守设备的一种攻击方式，具有物理访问权限的攻击者，用某种无法检测的手段对设备进行更改，以便后续访问该设备或设备中的数据。本田思域也很容易面临类似的攻击，比如邪恶的酒店代客泊车员。研究人员发现，本田汽车使用的 Android 软件包使用了公开的 AOSP 测试密钥进行签名，只要能物理访问汽车的 USB 接口，就可以刷入任意软件包，执行任意代码。

Arch Linux 项目的用户软件仓库 Arch User Repository(AUR)遭遇了大规模恶意攻击，逾四百 AUR 包被植入恶意程序。Arch Linux 维护者从昨天开始一直在重置/删除所有恶意内容，封禁受影响账号。此次攻击只影响用户软件仓库——由用户贡献的软件包，而不是官方 Arch Linux 软件包。

韩国电商巨头酷澎（coupang）因其数千万用户信息泄露被罚 6247 亿韩元（约合人民币 27.7 亿元）。韩国个人信息保护委员会认定，酷澎在认证签名密钥管理及访问控制等方面存在疏漏，基本安全管理体系不完善，导致约 3750 万名用户个人信息泄露，并就此处以 4235.75 亿韩元罚款。这是针对单一个人信息泄露事故开出的最高罚款。委员会还认定，酷澎在缺乏法律依据的情况下，擅自收集约 1117 万名访问其他公司网站和应用程序用户的在线活动记录，并在可识别个人身份的状态下将相关信息储存到数据库中，因此另行处以 2011.066 亿韩元罚款。

在 Node.js 生态系统发生了一系列严重安全事件之后，npm 管理工具的下一个大版本 v12 将在安全方面进行重大调整：除非明确允许，npm install 不再自动执行依赖项的 preinstall、install、postinstall 脚本。来自 Git、文件和链接依赖项的准备脚本也会以同样的方式被阻止。npm v12 将于 2026 年 7 月推出。

微软下线了数十个托管在 GitHub 上的开源项目，原因是安全公司发现这些项目被入侵植入了窃取密码等敏感凭证的恶意代码。微软在一份声明中表示，它正对此展开调查，部分下线的项目在审核之后已恢复上线，作为调查的一部分，它通知了下载受影响项目的一小部分用户。调查显示，至少 73 个项目受到影响。这是过去一个月微软第二次开源项目库遭到入侵。

Red Hat 官方 NPM 账号 @redhat-c​​loud-services 被入侵，该账号相关联的多个软件包植入了窃取凭证的恶意程序。恶意程序旨在窃取 GitHub Action Secret、以及 AWS、GCP、Azure、Kubernetes、HashiCorp Vault、npm 和 CircleCI 等的凭证，它还是一种能自我传播的蠕虫，会利用窃取的 npm 令牌和 npm 的 bypass_2fa 参数，自动重新发布其它软件包的后门版本。Red Hat 在一份声明中表示，恶意软件包已经移除，它仍然在进行调查，初步分析未发现对客户或合作伙伴环境或 Red Hat 生产系统造成任何影响。

欧洲刑警组织披露，他们黑进了被网络犯罪分子使用的 VPN 服务“First VPN”，访问了用户数据库，识别了数千用户身份。First VPN 的网站已经显示被执法部门扣押的信息，它过去曾在俄语网络犯罪论坛上打广告，宣称能隐藏用户的 IP 地址，加密所有通信，不记录任何日志。它还声称将拒绝与司法机关合作，其服务不受任何司法管辖，且不会存储任何用户数据。First VPN 的活动始于 2014 年，在 27 个国家/地区提供了 32 个出口节点服务器。至少有 25 个勒索软件组织利用了其基础设施进行网络侦察和入侵。警方搜查了该服务管理员在乌克兰的住所，拆除了 33 台服务器。

非玩家可能不知道，今天的高级作弊工具已经硬件化，且价格不菲，可能比整台 PC 贵得多。此类工具被称为 DMA 硬件卡或 DMA 外挂，利用硬件绕过传统的游戏反作弊系统。游戏开发商也正致力于反制 DMA 外挂，最新的例子就是 Riot Games。它的 FPS 网游《无畏契约（Valorant）》使用的内核级反作弊系统 Vanguard 在最新更新之后能强制开启 IOMMU 封锁 DMA 外挂，导致 DMA 硬件停止工作，如果要恢复工作必须重新安装操作系统。Vanguard 现在能屏蔽大多数伪装成 SATA 或 NVMe 设备的 DMA 硬件卡固件，会在游戏中突然触发 IOMMU 重启警告，之后 DMA 固件完全无法使用，即使游戏不再运行或卸载也是如此。唯一的解决方法是重装 Windows 系统。Riot Games 通过社交媒体嘲讽了作弊者，称他们的 6000 美元 DMA 外挂变成了垃圾。

Google 周三公开了一个未修复 Chromium 漏洞的利用代码。该漏洞影响所有使用基于 Chromium 浏览器的用户。独立安全研究员 Lyra Rebane 在 2022 年底向 Google 报告了漏洞，但 29 个月后它仍然没有修复。本周三上午 Google 向 Chromium 的 bug 跟踪系统披露了漏洞，Rebane 一开始以为漏洞已经修复了，结果发现根本没有。Google 虽然之后删除了帖子，但其内容已被其它网站存档。该漏洞滥用了 Chromium 的 Browser Fetch API 打开一个持续活动的 Service Worker，恶意网站可通过 JavaScript 触发该 Service Worker 创建连接，监视用户的部分活动，它还可作为代理访问网站和发起 DDoS 攻击。安全研究人员认为这是一个严重的漏洞，它实际上相当于一个受限的后门，将浏览器变成僵尸网络的一部分。

2024 年 Google 云服务 GCP 的错误配置导致澳大利亚退休基金管理公司 UniSuper 的数据被完全删除，幸运的是 UniSuper 在另一家公司有备份。这起事故导致 UniSuper 下线了一周多时间。2026 年 5 月 19 日 GCP 发生了一起类似的严重事故，它的自动系统将其大客户、PaaS 平台 Railway.com 的生产账号给封了，导致 Railway 的服务下线，根据 Railway 官方博客的事故报告，宕机持续了大约 8 个小时。账号封禁发生在 19 日 22:10 UTC，导致 Railway 失去了 GCP 相关的基础设施，这些基础设施支持了控制面板、API 以及部分网络基础设施。Railway 立即联系了 GCP 的客户经理，22:29 UTC 账号恢复，但计算实例、磁盘以及网络都需要逐个慢慢恢复，直到第二天 07:58 UTC 事故才完全解决。Railway 宣布将降低对 GCP 的依赖，计划将 GCP 从热路径中移除，保留作为备份/故障转移服务。

GitHub 通过 X 平台官方账号证实黑客窃取了其内部代码库，它正对此展开调查。此前黑客组织 TeamPCP 通过 Breached 论坛声称获得了 GitHub 内部源代码和内部组织的访问权限，窃取了大约 3800 个代码库，它对想要访问源代码的人开出了 5 万美元的报价。TeamPCP 坚称这不是勒索，只要有人开出不低于 5 万美元的报价，它们会在收钱之后销毁数据，如果没有买家则将会免费公开。GitHub 称它的调查显示一名员工的计算机被入侵，其源头是安装的恶意 VS Code 扩展，他们移除了扩展隔离了设备，正继续进行调查。GitHub 表示目前没有证据表明客户数据受到影响。

企业通过 Bug 悬赏项目向白帽子黑客支付发现 bug 的赏金，但此类项目如今被低质量的 AI 报告淹没，迫使部分企业终止项目。Bugcrowd 的客户包括 OpenAI、T-Mobile 和摩托罗拉，该公司表示 3 月三周内收到的报告数量翻了四倍多，大部分报告被证实是错误的。Curl 项目在 1 月暂停了 Bug 悬赏项目。网络安全公司 Sophos 的首席信息安全官 Ross McKerchar 表示，低质量 AI 报告正迅速成为一大问题，Bug 悬赏会继续 存在，但必须做出改变。Nextcloud 在 4 月暂停了 Bug 悬赏。Bug 悬赏项目平台 HackerOne 也开始引入 AI 智能体去筛选递交的 Bug 报告，CEO Kara Sprague 表示高质量的 AI 报告最近也略有增加。

Linus Torvalds 在内核邮件列表上宣布释出 Linux 7.1-rc4 时特别强调了大量涌入的 AI Bug 报告问题。Torvalds 称，AI 报告的持续涌入，让安全邮件列表几乎完全无法管理，不同的人使用相同的工具发现了相同的问题，出现了大量的重复报告。这都是毫无意义的空耗，因为 AI 检测到的 bug 几乎不是秘密，而报告者甚至不看彼此的报告。AI 工具固然好，但前提是真的能提供帮助，而不是造成不必要的麻烦和无意义的虚假工作。请随意使用这些工具，但请确保以高效率且能带来更佳体验的方式使用它们。大部分报告的 bug 都是普通 bug 而不是安全漏洞。 Torvalds 强调，“如果你使用 AI 工具发现了一个 bug，那么很可能其他人也发现了它。”如果你想要创造真正的价值那么最好阅读文档开发一个补丁，不要不经大脑思考就递交报告。