Skip to main content

LoopDNS资讯播报

LoopDNS资讯播报
LoopDNS资讯播报
LoopDNS 综合资讯---简洁,及时,快速,准确


频道: @DNSPODT

电报讨论组: @LoopDNS

撤稿流程: https://t.me/loopdns/107752

  1. Red Hat Cloud Services 相关 npm 包疑遭供应链攻击

    2026 年 6 月 1 日,Wiz Research 披露,多个发布在 @redhat-cloud-services npm 命名空间下的软件包疑似遭遇供应链攻击。调查发现,至少 29 个 npm 包版本包含未经授权的修改,且与对应源代码仓库不一致。

    分析显示,受影响版本中被加入了安装阶段自动执行机制,例如 preinstall 脚本会在用户安装依赖时调用恶意 index.js 文件。相关恶意载荷为高度混淆的 JavaScript 代码,使用 eval()、ROT 解码等方式隐藏真实功能。

    Wiz Research 表示,解码后的代码中发现 AES 加密、硬编码密钥等可疑逻辑,行为特征可能与恶意载荷投递、命令与控制通信、凭证窃取或数据外传有关。

    受影响的软件包包括
    @redhat-cloud-services/topological-inventory-client 3.0.10 NPM
    @redhat-cloud-services/compliance-client 4.0.3 NPM
    @redhat-cloud-services/rbac-client 9.0.3 NPM
    @redhat-cloud-services/insights-client 4.0.4 NPM
    @redhat-cloud-services/frontend-components 7.7.2 NPM
    @redhat-cloud-services/frontend-components-utilities 7.4.1 NPM
    @redhat-cloud-services/remediations-client 4.0.4 NPM
    @redhat-cloud-services/frontend-components-notifications 6.9.2 NPM
    @redhat-cloud-services/patch-client 4.0.4 NPM
    @redhat-cloud-services/host-inventory-client 5.0.3 NPM
    @redhat-cloud-services/rule-components 4.7.2 NPM
    @redhat-cloud-services/frontend-components-advisor-components 3.8.2 NPM
    @redhat-cloud-services/notifications-client 6.1.4 NPM
    @redhat-cloud-services/sources-client 3.0.10 NPM
    @redhat-cloud-services/integrations-client 6.0.4 NPM
    @redhat-cloud-services/frontend-components-config 6.11.3 NPM
    @redhat-cloud-services/frontend-components-config-utilities 4.11.2 NPM
    @redhat-cloud-services/hcc-pf-mcp 0.6.1 NPM
    @redhat-cloud-services/frontend-components-remediations 4.9.2 NPM
    @redhat-cloud-services/eslint-config-redhat-cloud-services 3.2.1 NPM
    @redhat-cloud-services/javascript-clients-shared 2.0.8 NPM
    @redhat-cloud-services/quickstarts-client 4.0.11 NPM
    @redhat-cloud-services/config-manager-client 5.0.4 NPM
    @redhat-cloud-services/hcc-feo-mcp 0.3.1 NPM
    @redhat-cloud-services/entitlements-client 4.0.11 NPM
    @redhat-cloud-services/tsc-transform-imports 1.2.2 NPM
    @redhat-cloud-services/hcc-kessel-mcp 0.3.1 NPM
    @redhat-cloud-services/frontend-components-testing 1.2.1 NPM
    @redhat-cloud-services/types 3.6.1 NPM


    安全人员建议,使用相关 npm 包的开发者应立即检查项目依赖和锁文件,确认是否安装了受影响版本。如发现命中,应尽快升级或移除相关依赖,并排查 CI/CD 环境、npm token、GitHub token、云服务密钥等敏感凭证是否存在泄露风险。


    消息来源:Wiz商业报告

  2. 风向旗参考快讯
    币安推出美股交易以推进“超级应用”战略 全球最大的加密货币交易所币安周一宣布,其用户将能够交易超过7000只美国股票和ETF,这是其成为“多资产金融超级应用”宏伟目标的一部分。币安称其正致力于解决购买美国股票成本高昂且手续繁琐问题,将为非美国客户提供零佣金股票交易,以及起价5美元的零碎股交易。客户可以使用稳定币 USDC 或 USDT,或包括币安自家 BNB 在内的其他几种数字货币购买股票。 币安还提出了一个大胆的“bStocks”计划,该计划将允许用户对其购买的股票进行代币化。用户很快就能通过将某些…
    全球最大的加密货币交易所币安周一宣布,其用户将能够交易超过7000只美国股票和ETF,这是其成为“多资产金融超级应用”宏伟目标的一部分。币安称其正致力于解决购买美国股票成本高昂且手续繁琐问题,将为非美国客户提供零佣金股票交易,以及起价5美元的零碎股交易。客户可以使用稳定币 USDC 或 USDT,或包括币安自家 BNB 在内的其他几种数字货币购买股票。

    fortune.com

  4. 多家全国性银行今年不再报送数据,房地产贷款集中度管理进一步“放松”

    近日从多家全国性银行了解到,2021年起执行的“商业银行房地产贷款‘五档两线’集中度管理制度”已进一步“放松”,有关部门去年底已不再要求专门上报相关数据。

    一家全国性商业银行对公业务负责人证实,今年该行没有报送数据,因去年底有关部门曾口头传达相关数据不再报送。一家全国性商业银行负责贷款统计和管理的人士亦表示,有关部门已经不再向银行提及房地产贷款占比的情况,“没再听说有相关要求”。

    来源:钛媒体

  5. 竹新社
    《国务院关于对外投资的规定》经4月17日国务院常务会议通过,自7月1日起施行。 发改委、商务部可对可能影响国安的境外投资及相关资产权益的转让处分进行安全审查。不配合审查,或不遵守审查决定的,没收所得,可以禁止其在1–3年的期限内对外投资;已经投资的,可以责令限期处分资产。 国家禁止的对外投资,没收所得。 未履行或者以虚假隐瞒方式申请核准备案的,没收所得,并处投资额1–5‰罚款。 以贿赂欺骗方式取得核准备案的,没收所得,并处5–10‰罚款。 拒不改正的,再处投资额5–10‰罚款。 在境外金融市场的投资适用本…
    《国务院关于对外投资的规定》经4月17日国务院常务会议通过,自7月1日起施行。
    发改委、商务部可对可能影响国安的境外投资及相关资产权益的转让处分进行安全审查。不配合审查,或不遵守审查决定的,没收所得,可以禁止其在1–3年的期限内对外投资;已经投资的,可以责令限期处分资产。
    国家禁止的对外投资,没收所得。
    未履行或者以虚假隐瞒方式申请核准备案的,没收所得,并处投资额1–5‰罚款。
    以贿赂欺骗方式取得核准备案的,没收所得,并处5–10‰罚款。
    拒不改正的,再处投资额5–10‰罚款。
    在境外金融市场的投资适用本规定。在境外的再投资适用本规定。中国境内居民个人等对外投资具体管理办法,由发改委、商务部另行制定。

  6. 1.目前省里叫停了所有煤矿复产流程,成立检查组,挨个检查审批复产。

    2.国企矿所有外包人员放假休息。

    3.煤矿查税倒查10年,甚至20年查到煤管票时代了


    #未知信源

  7. LoopDNS资讯播报
    MiniMax推出M3多模态编程大模型并上线API接口 人工智能公司MiniMax近日正式推出新一代前沿大模型MiniMax-M3。该模型主打多模态能力与前沿的编程技术支持(Frontier Coding),同时具备高达1M(约100万token)的超长上下文窗口。目前,该模型已在其官方API平台逐步上线并开放使用。 来源:MiniMax
    MiniMax M3 正式发布:主打编程、1M 上下文与原生多模态

    MiniMax 今日发布 M3 前沿模型,定位为面向 Coding、Agent 和多模态任务的统一模型。官方称,M3 采用 MiniMax Sparse Attention(MSA)稀疏注意力架构,最高支持 100 万 token 上下文,并原生支持图片、视频输入以及 Computer Use 桌面操作能力。

    MSA 主要用于降低长上下文场景下的计算成本。MiniMax 称,在 100 万上下文下,M3 每 token 计算量为上代模型的 1/20,prefilling 阶段加速超过 9 倍,decoding 阶段加速超过 15 倍。

    minimax 将在未来 10 天内将更新 M3 技术报告,并开源对应模型权重。

    来源:MiniMax 官方博客

  8. MiniMax推出M3多模态编程大模型并上线API接口

    人工智能公司MiniMax近日正式推出新一代前沿大模型MiniMax-M3。该模型主打多模态能力与前沿的编程技术支持(Frontier Coding),同时具备高达1M(约100万token)的超长上下文窗口。目前,该模型已在其官方API平台逐步上线并开放使用。

    来源:MiniMax

  9. LoopDNS资讯播报
    据知情人士透露 ,泰国国家人工智能计划背后的一家关键公司涉嫌帮助走私价值数十亿美元的超微电脑公司服务器到中国,这些服务器内装有英伟达公司的先进芯片,而阿里巴巴集团控股有限公司是众多最终客户之一。 来源:彭博社
    美国商务部发布新规堵塞英伟达AI芯片出口漏洞

    美国商务部于5月31日发布紧急指南,旨在堵塞此前存在的政策漏洞,防止中国公司的海外子公司获取英伟达Blackwell等全球最先进的AI芯片。该指南明确规定,对于总部位于中国但在中国境外运营的实体,获取先进芯片同样必须执行许可证要求。

    此前有消息指出,相关漏洞可能导致数十万颗高端AI芯片流向马来西亚等地的中国子公司。对此,美商务部工业和安全局表示,此举旨在严格执行出口管制以保护关键技术。英伟达官方回应称,该指南未对其现有出货造成实质改变,其此前已受到明确的许可证限制。

    来源:路透社

  10. 别的书摘与政治不正确玩梗
    在一个民主国家或任何一个致胜联盟很庞大的体系内,通过私人回报的方式来收买忠诚代价太大。钱会被极大摊薄。所以,依赖大型致胜联盟的、较民主的政府趋向于着重把钱花在能增进普遍福利的有效公共政策上,这很接近詹姆斯·麦迪逊倡导的理念。 与此形成对照的是,独裁者、君主、军政府领导人以及大部分企业首席执行官只依赖一小撮不可或缺者。正如马基雅维利所言,他们通过大慷公家之慨、以私人回报的方式收买致胜联盟的忠诚,这种统治方式更有成效,尽管这意味着要牺牲广大纳税人或千百万小股民的利益。 因此,小型致胜联盟助长了稳定、腐败、以私…
    独裁者手册_补全版_布鲁斯布尔诺德梅斯奎塔_阿拉斯泰尔史密斯_z_library_sk,_1lib_sk,_z_l.pdf
    3.2 MB

  11. MCU及功率半导体大厂意法半导体向客户发出“价格调整通知函”,宣布将自2026年6月28日起对部分产品价格进行上调。

    这是意法半导体在今年3月24日宣布将多个产品线的价格自4月26日起进行上调之后,今年以来的第二度宣布涨价。

    在此之前,英飞凌、德州仪器等国际功率半导体巨头也相继发布涨价通知。英飞凌于5月26日通知客户及合作伙伴,将自7月1日起调整部分产品价格,这是继2026年4月首轮提价之后,英飞凌年内的第二次价格上调。

    QQ_Timmy

  12. 消息人士向 Axios 证实, 英伟达预计将于下周推出首批采用其芯片作为主处理器的 Windows 电脑。
    英伟达和微软将在两个重要的行业会议上展示他们的合作成果以及首批搭载这些芯片的计算机——台湾的 Computex 贸易展和微软在旧金山举办的 Build 开发者大会。
    消息人士证实,搭载英伟达芯片的个人电脑预计将来自微软自家的 Surface 品牌以及其他计算机制造商,包括戴尔。

    axios.com

  14. LoopDNS资讯播报
    Linux系统曝出cifs.upcall本地权限提升漏洞概念验证代码 安全研究人员近日公布了针对Linux系统cifs-utils工具包中cifs.upcall组件的本地权限提升漏洞概念验证代码(PoC)。该漏洞源于系统在处理特定内核密钥请求回调时,未能安全地隔离用户命名空间。低权限攻击者通过伪造cifs.spnego类型的请求,可诱导高权限的cifs.upcall进程加载恶意的名称服务切换(NSS)动态链接库。 代码表明,攻击者利用该缺陷可在私有命名空间内篡改系统配置文件,进而通过在sudoers目…
    重要/漏洞:Linux CIFS/SPNEGO key description 存在本地提权漏洞

    漏洞编号:暂无公开 CVE / PoC 名称:CIFSwitch
    重要等级:需要关注的(本地提权风险)
    CVSS 分数:

    影响范围:
    受影响组件:Linux kernel CIFS client、cifs-utils、request-key / keyutils、cifs.upcall
    受影响代码路径:
    Linux kernel:fs/smb/client/cifs_spnego.c
    cifs-utils:cifs.upcall.c


    受影响功能:
    CIFS Kerberos/SPNEGO upcall;
    cifs.spnego key description 处理;
    request-key 触发 cifs.upcall 的逻辑;
    cifs.upcall namespace 切换与 NSS 查询逻辑。


    主要受影响配置:
    系统安装了 cifs-utils / keyutils,并存在 active cifs.spnego request-key 规则;
    CIFS 模块可加载或已编译进内核;
    允许非特权用户创建 user namespace / mount namespace;
    AppArmor、SELinux 或其他 LSM 策略未阻断该 namespace / NSS 触发链;
    本地低权限用户可在目标主机上执行程序。

    注意:仅安装 Linux 内核但未安装 cifs-utils,或系统不存在可用 cifs.spnego request-key 规则,通常无法通过公开 PoC 触发该链路;禁用了非特权 user namespace、LSM 策略有效阻断、或已升级到包含上游修复的内核,也会显著降低或消除当前 PoC 风险。该漏洞不需要实际连接 CIFS/SMB 服务器,关键条件是本地 cifs.spnego upcall 链路可被触发。

    漏洞原理:
    该漏洞链出现在 Linux CIFS/SPNEGO upcall 的内核与用户态辅助程序协作边界中。正常情况下,CIFS 内核客户端在需要 Kerberos/SPNEGO 认证材料时,会构造 cifs.spnego key description,并通过 request_key() 触发用户态 helper cifs.upcall。该 description 中包含 pid、uid、creduid、upcall_target 等具有安全语义的字段,cifs.upcall 会将其视为来自内核的可信输入。

    漏洞链由三个核心缺陷组成:
    1. 内核侧 cifs.spnego description 来源校验缺失
    修复前,fs/smb/client/cifs_spnego.c 中的 cifs_spnego_key_type 未配置 .vet_description 校验。结果是,非特权用户可以直接调用 request_key("cifs.spnego", forged_description, ...),自行伪造包含 pid、uid、creduid、upcall_target 等字段的 cifs.spnego description。即使最终 key 请求失败,request-key helper 已经被触发,攻击链仍可继续。

    2. cifs.upcall 信任攻击者可控的 pid / upcall_target
    cifs-utils 的 cifs.upcall.c 会解析 key description 中的 pid、uid、creduid、upcall_target 等字段。当 upcall_target=app 时,cifs.upcall 会根据 description 中的 pid 调用 switch_to_process_ns(pid),进入该进程所在 namespace。
    在 description 来源不可验证的情况下,pid 变成了攻击者控制 root helper 运行视图的入口。攻击者可让 pid 指向处于私有 user/mount namespace 内的触发进程,从而诱导 root 身份运行的 cifs.upcall 进入攻击者控制的 mount namespace。

    3. NSS 查询发生在最终降权之前
    cifs.upcall 在切换 namespace 后,会执行 getpwuid(uid) 查询用户信息,然后才进行 setgid()、setuid() 和 drop_all_capabilities()。NSS 查询会读取当前 mount namespace 中的 /etc/nsswitch.conf,并按配置加载 libnss_*.so.2。
    攻击者在私有 mount namespace 中准备伪造的 /etc/nsswitch.conf 和攻击者控制的 libnss_pwn.so.2 后,可让 root 身份运行的 cifs.upcall 在最终降权前加载恶意 NSS 模块。恶意 NSS 模块 constructor 以 root 权限执行,从而写入 sudoers 或执行等价 root 代码路径,最终实现本地低权限用户提权至 root。


    受影响组件:
    Linux kernel CIFS client
    cifs-utils / cifs.upcall
    keyutils / request-key
    系统 request-key 配置


    受影响对象:
    安装 cifs-utils 并启用默认 cifs.spnego request-key 规则的 Linux 主机;
    允许本地低权限用户登录或执行代码的多用户服务器;
    CI runner、构建机、容器宿主机、云主机、研发测试环境;
    启用了非特权 user namespace / mount namespace 且未被 LSM 策略阻断的系统;


    处置建议:
    1. 优先升级内核
    2. 如果业务不需要 CIFS/SMB 挂载,建议卸载 cifs-utils / keyutils,或阻止 cifs 模块加载。
    3. 如果业务需要 CIFS 但不需要 Kerberos/SPNEGO CIFS 认证,可临时禁用或覆盖 cifs.spnego upcall 规则。注意该操作会影响依赖 Kerberos/SPNEGO 的 CIFS 挂载。

    参考链接:Github

  15. Linux系统曝出cifs.upcall本地权限提升漏洞概念验证代码

    安全研究人员近日公布了针对Linux系统cifs-utils工具包中cifs.upcall组件的本地权限提升漏洞概念验证代码(PoC)。该漏洞源于系统在处理特定内核密钥请求回调时,未能安全地隔离用户命名空间。低权限攻击者通过伪造cifs.spnego类型的请求,可诱导高权限的cifs.upcall进程加载恶意的名称服务切换(NSS)动态链接库。

    代码表明,攻击者利用该缺陷可在私有命名空间内篡改系统配置文件,进而通过在sudoers目录中写入特定配置或创建根权限Shell,最终在宿主机命名空间内跨越权限边界,将普通用户权限提升至完全的Root最高权限。目前,相关Linux发行版正在积极推进补丁修复工作,建议系统管理员及时关注并升级相关组件。

    来源:Github

  16. 特朗普称将对伊做出最终决定 哈萨克斯坦或接收伊浓缩铀

    美国总统特朗普日前表示,伊朗须承诺永不拥有核武器,并要求霍尔木兹海峡立即免税开放。他指出,美方已解除海上封锁,并将在国际原子能机构(IAEA)协助下挖掘并销毁伊朗此前的浓缩核材料。特朗普称正前往白宫战情室做出最终决定,舆论普遍将其视为美伊达成协议的信号。

    与此同时,国际原子能机构总干事格罗西透露,若美伊顺利达成核协议,哈萨克斯坦已表态愿意接收并储存伊朗现有的约440公斤高浓缩铀。该批核材料的去向曾是美伊谈判的核心障碍之一,此举有望为化解中东紧张局势带来转机。

    来源:Iran International English / FinancialJuice

  17. 上证50更换5只样本股 科创50指数更换4只样本股

    金十数据5月29日讯,上证50指数样本调入特变电工、生益科技、中国铝业、华泰证券、兆易创新,于2026年6月12日收市后生效。

    科创50指数样本调入华虹公司、源杰科技、摩尔线程、沐曦股份,于2026年6月12日收市后生效。

  18. LoopDNS资讯播报
    五一假期航班遭大规模取消 据多家航司公告及航班数据显示,随着五一假期临近,国内飞往东南亚的航班正出现大规模取消情况,涉及曼谷、普吉岛、万象等热门目的地,涵盖国内多家航司及旗下子公司、东南亚的航司。 当前航油价格的暴涨,已远超多数航司的成本承受能力。国泰航空在公告中直言,3月以来航油价格持续维持高位,公司虽已调整燃油附加费试图对冲压力,但仍不足以缓解冲击,削减航班成为迫不得已的选择。 来源:新浪财经
    国内航司燃油附加费自6月5日起下调

    自2026年6月5日(出票日期)起,成人旅客:800公里以上航线每位旅客收取150元燃油附加费,800公里(含)以下航线每位旅客收取80元燃油附加费。相较于调整前降低了20元/10元。燃油附加费降低将减少的出游成本。

    来源:界面新闻

  19. LoopDNS资讯播报
    数据显示,去年绕过资本管制的“热钱”流出达1.04万亿美元,创历史新高。 来源:彭博社-中国为何收紧对海外股票交易的管制?
    中国收紧跨境资产监管以拓宽地方财政税源

    受国内土地出让收入下滑等因素影响,中国地方政府正积极开拓新财源,多部门近期联合启动了数十年来最大规模的跨境税收与跨境证券投资整治。富途控股、老虎证券及长桥证券等券商因无牌照经营遭重罚整改,监管层同时向富裕阶层的离岸信托及海外资产加大追税力度。

    分析指出,由于过去五年地方土地相关收入大幅缩水近半,财政缺口迫使监管部门将视线转向此前游离于灰色地带的跨境财富。此轮行动通过强化银行合规、追缴投资欠税等穿透式监管手段,在严控资金外流、防范金融风险的同时,实质上也在重新构建和扩大高净值人群的跨境税基。

    来源:彭博社