台灣資安新聞彙整 2026.06.03-06.09

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

6/4

AI 也會被騙？Claude Code 漏洞恐讓駭客接管 GitHub 儲存庫

資安研究人員揭露，Anthropic 的 Claude Code GitHub Action 存在安全漏洞，攻擊者只需提交一則惡意 GitHub Issue，即有機會誘導 AI 執行惡意指令，進而取得儲存庫寫入權限。事件凸顯生成式 AI 導入開發流程後，提示詞注入（Prompt Injection）已成為新的供應鏈風險。

https://thehackernews.com/2026/06/claude-code-github-action-flaw-let-one.html

6/5

WordPress 外掛高危漏洞遭利用，駭客可直接接管網站

資安研究人員發現，熱門 WordPress 表單外掛 Everest Forms Pro 存在重大漏洞，駭客無需登入即可遠端執行程式碼，進而建立管理員帳號、植入後門並完全控制網站。目前已有超過 2.9 萬次攻擊嘗試被偵測到，顯示漏洞已遭駭客積極利用。

https://thehackernews.com/2026/06/hackers-exploit-critical-everest-forms.html

世足賽開踢前，詐騙先上場！假票券、假網站、惡意 App 全面來襲

2026 FIFA 世界盃即將開賽，資安專家與 FBI 警告，相關詐騙活動已大規模展開。駭客透過假售票網站、仿冒 FIFA 登入頁面、假直播 App 及社群廣告誘騙球迷，不僅可能竊取帳號與票券，更可能植入銀行木馬程式，盜取金融資料。

https://thehackernews.com/2026/06/fifa-world-cup-2026-scams-are-already.html

DentaQuest 雲端基礎設施遭 ShinyHunters 攻破，260 萬人敏感醫療與身分資料外洩

大型醫療保險與服務商 DentaQuest 證實其託管在雲端的數據中心遭駭客入侵。知名網路犯罪組織 ShinyHunters 透過精準的社交工程獲取了內部維運團隊的有效帳據及雲端存取權杖（Tokens）。在勒索贖金失敗後，駭客於暗網公開了高達 234 GB 的客戶 PII 身分證件與醫療保險數據庫。

https://www.securityweek.com/hackers-leak-dentaquest-information-impacting-2-6-million/

6/8

假 IT 真駭客！美國企業遭新型詐騙攻擊，駭客甚至親自上門竊取機密資料

Google 揭露駭客組織 UNC3753 最新攻擊手法，透過電話詐騙假冒 IT 支援人員，誘導員工安裝遠端控制工具並竊取機密資料。部分案例中，駭客甚至偽裝成技術人員進入辦公室，以 USB 直接複製敏感資料，顯示社交工程攻擊正持續升級。

https://thehackernews.com/2026/06/unc3753-used-vishing-and-physical.html

無印良品、東芝等多家網站傳出可疑的Polyfill登入提示

日本電子電機廠商東芝（Toshiba）、無印良品（Muji）旗下網站疑似被植入 Polyfill 跳出式登入提示頁，意在蒐集用戶憑證資訊。早在 2024 年初一家中國公司收購了 Polyfill.io 網域後，以其進行供應鏈攻擊，在造訪網域的使用者裝置瀏覽器插入惡意程式碼。當時維護 Polyfill 專案的原作者提醒大家儘快移除該連結，但許多維護率低的網站並未及時更新。

https://www.ithome.com.tw/news/176420

AI 工具遭濫用釀資安事件，約 2 萬 Instagram 帳號疑遭盜用

根據調查，攻擊者濫用 Meta 的帳號協助工具，誘導系統將密碼重設連結發送至未經授權的電子郵件信箱，成功接管未啟用雙重驗證的帳號。受影響帳號可能包含個資、訊息內容與貼文等資訊，目前 Meta 已停用相關功能並展開修補與用戶通知作業。

https://www.securityweek.com/meta-says-20000-instagram-accounts-hacked-via-ai-tool-abuse/