iRhythm遭勒索攻击,超千万患者健康信息泄露
发布时间 2026-06-176月16日,美国数字医疗公司iRhythm Holdings于近日披露一起重大数据泄露事件,黑客通过社会工程手段攻破了其第三方托管的业务应用程序,成功窃取包括患者受保护健康信息、个人身份信息及公司专有数据在内的敏感资料。作为一家专注于心脏监测服务的知名企业,iRhythm的技术已用于分析超过1200万名患者累计逾20亿小时的心跳数据,此次泄露波及范围之广,引发业界对医疗数据安全的深切担忧。根据该公司于2026年6月10日向美国证券交易委员会提交的文件,事件最早于前一天(6月9日)被发现,当日公司即收到威胁行为者的勒索信函,对方以公开泄露被盗数据为要挟索取赎金。iRhythm在确认部分数据确已从应用程序中外泄后,迅速联合外部网络安全专家展开取证调查,并启动了既定的网络安全响应计划以遏制事态扩散。鉴于潜在受影响的数据量极为庞大,该公司于6月10日正式认定该事件构成“重大性质”的网络安全事故。值得注意的是,iRhythm在声明中强调,此次入侵并未波及公司的核心产品系统、临床或医疗设备基础设施、患者安全相关系统、制造与分销运营链条,也未影响财务报告系统,同时该公司明确表示其不存储患者的支付卡或财务账户信息,从而在一定程度上缓解了金融欺诈风险。
https://www.bleepingcomputer.com/news/security/irhythm-discloses-data-breach-says-hackers-stole-patient-info/
2. 柯达遭ShinyHunters勒索,威胁泄露220万条记录
6月15日,近日,拥有近150年历史的美国成像技术巨头伊士曼柯达公司被列入臭名昭著的勒索组织ShinyHunters的泄露网站,并收到一份措辞严厉的“最后警告”,要求其在2026年6月18日前主动联系该组织并满足赎金要求,否则将面临敏感数据被公开泄露的风险。ShinyHunters在网站上声称已成功窃取“超过220万条包含客户个人身份信息和其他内部公司数据的记录”,但截至目前,该组织并未发布任何样本数据或具体证据来支撑其这一庞大声称,而柯达公司近期也从未在公开场合承认遭遇任何网络入侵。这家曾因胶卷闻名全球、后于2012年申请破产并经历彻底重组的百年企业,如今已转型为以B2B为主的科技制造公司,核心业务涵盖商业数码印刷、电影胶片与静态胶片制造、制药及电池用先进化学品的生产,以及自有品牌授权等领域,此次突如其来的勒索威胁无疑给其转型之路蒙上一层阴影。可以预见的是,若柯达最终未能与黑客达成妥协,其庞大的客户数据库与内部商业机密一旦外泄,不仅将严重侵蚀这家老牌企业的公信力,还可能引发监管重罚与集体诉讼。
https://cybernews.com/security/shinyhunters-claims-kodak-hack-2-million-records/
3. CISA将LiteSpeed cPanel插件高危漏洞列入KEV目录
6月16日,美国网络安全和基础设施安全局(CISA)近日将一项影响LiteSpeed cPanel插件的高危安全漏洞列入其“已知被利用漏洞”(KEV)目录。该漏洞编号为CVE-2026-54420,CVSS评分为8.5,属于高危级别。根据要求,美国联邦民事行政部门(FCEB)机构必须在2026年6月18日前完成修复,以防范潜在的网络攻击风险。该漏洞的技术成因在于LiteSpeed cPanel插件(2.4.8版本之前)对符号链接的处理存在缺陷。具体而言,当服务器运行CloudLinux或CageFS这类共享托管环境时,拥有FTP或Web Shell访问权限的用户可以利用此漏洞,通过创建恶意符号链接来突破CageFS的隔离机制,最终将权限提升至系统最高级别root权限。成功利用此漏洞的攻击者可以完全控制目标服务器,访问、篡改或窃取同一服务器上所有其他托管网站的数据。LiteSpeed官方已确认该漏洞正在被积极利用,实际攻击活动最早可追溯至2026年5月。安全厂商Namecheap于2026年5月31日向LiteSpeed报告了这一问题。针对这一紧迫威胁,LiteSpeed官方提供了升级修复和临时缓解两种应对方案。
https://thehackernews.com/2026/06/cisa-flags-litespeed-cpanel-plugin-flaw.html
4. JetBrains Marketplace恶意插件盗取AI开发者密钥
6月16日,近日,网络安全公司Aikido Security在JetBrains Marketplace上发现了一场有组织的恶意软件攻击活动,至少15个IDE插件被植入窃密代码,专门盗取开发者存储在插件设置中的AI服务商API密钥。这些插件伪装成AI编码助手、代码审查工具和Git实用程序,宣称集成OpenAI、DeepSeek、SiliconFlow等热门AI服务,最早于2025年10月发布,新插件持续更新至2026年6月10日,累计安装次数接近7万次。攻击者通过七个不同的供应商账号发布这些插件,所有恶意插件均共享高度相似的底层代码,其核心行为是在用户输入API密钥并点击“应用”按钮的瞬间,通过未加密的HTTP协议将凭据明文发送至硬编码服务器的指定接口,导致密钥在传输过程中极易被截获或直接落入攻击者手中。更令人警惕的是,部分插件还提供付费版本,其运作机制异常可疑,用户支付少量费用后,远程服务器会主动向客户端发回一个可用的AI API密钥,供插件直接调用。Aikido研究人员指出,任何合法的服务运营商都不会将不受限制的付费AI提供商密钥直接交给用户,推测攻击者很可能将从免费用户那里窃取来的凭据重新分发,转卖给付费用户,从而构建一条非法牟利的黑色产业链。
https://www.bleepingcomputer.com/news/security/malicious-jetbrains-marketplace-plugins-steal-ai-api-keys-from-developers/
5. Rokarolla木马伪装热门应用盗取金融凭证
6月16日,一种名为Rokarolla的新型Android银行木马正在活跃传播,它通过伪装成Google Chrome或TikTok应用的恶意网站诱导用户安装,迄今已具备攻击217个银行和加密货币应用程序的能力,并拥有多达137条远程控制指令。移动安全公司Zimperium披露,该恶意软件在安装时充当投放器,会假冒Android官方反恶意系统Google Play Protect,向用户提供安装Chrome或TikTok的选项,而无论选择哪一项,最终植入的都是包含Rokarolla恶意代码的应用。一旦启动,该木马会立即请求辅助功能服务权限,同时索取访问通知、短信和通话的敏感授权,这些权限是后续实施高阶控制与欺诈的关键前提。随后,Rokarolla与命令与控制服务器建立通信,首步发送包含手机型号、Android版本、语言区域、显示参数、电池电量、存储容量及可用RAM等详尽的设备配置文件,服务器据此为每名受害者生成唯一标识符,以实现精准操控。该木马的核心目标是窃取财务信息。它会将受感染设备与内置的217个目标应用列表逐一比对,一旦发现匹配,便从服务器下载针对该应用的钓鱼攻击载荷。当受害者正常打开目标应用时,Rokarolla会实时覆盖一个伪造的登录界面,诱骗用户输入账户名、密码、信用卡号及其他敏感财务数据。
https://www.bleepingcomputer.com/news/security/new-rokarolla-android-malware-targets-217-banking-crypto-apps/
6. Steam创意工坊壁纸包暗藏恶意软件
6月16日,不法分子正大规模滥用Valve旗下的Steam创意工坊,这个本用于分享游戏模组、地图、皮肤等用户生成内容的社区中心,将恶意软件伪装成壁纸包向玩家推送。网络安全公司卡巴斯基发布报告披露,攻击者利用Steam平台上备受欢迎的“Wallpaper Engine”桌面自定义应用程序,该应用拥有近百万条评论,支持四种壁纸类型,其中“应用程序壁纸”本质上是可执行的Windows程序,可包含游戏、小工具或系统监控工具,这一设计虽拓展了功能性,却也内置了严重的安全风险,如今已被威胁行为者恶意利用。研究人员确认,至少从2025年末起,攻击者便开始向Steam创意工坊上传伪装成壁纸的恶意文件,诱骗用户通过Wallpaper Engine安装,卡巴斯基已发现数十款此类恶意应用程序壁纸,每一款均被下载数千乃至数万次,累计受害规模相当可观。这些恶意壁纸的投递手法多样,有的将恶意软件直接打包在壁纸安装包中,有的则将其置于受密码保护的压缩文件内,诱使用户主动解压并运行。一旦用户安装壁纸,有效载荷便会自动执行,后台迅速展开入侵。研究人员还发现多起涉及Lumma和Vidar信息窃取程序、加密货币挖矿木马、僵尸网络加载程序、RanEngine勒索软件等其他恶意家族的攻击案例,表明这一漏洞已被多个不同的攻击团伙同时滥用。
https://www.bleepingcomputer.com/news/security/steam-workshop-abused-to-spread-malware-via-wallpaper-engine-app/
京公网安备11010802024551号