GlassWorm第四波攻击瞄准macOS开发者
发布时间 2026-01-051. GlassWorm第四波攻击瞄准macOS开发者
1月1日,2025年10月首次出现的GlassWorm恶意软件近日发起第四波攻击,专门针对macOS开发者,通过篡改VSCode/OpenVSX扩展程序植入加密钱包木马版本。此次攻击活动呈现跨平台特性,此前主要针对Windows系统,现扩展至macOS,凸显攻击者对开发者生态的持续渗透。攻击利用OpenVSX和Microsoft Visual Studio Marketplace中的恶意扩展程序,这些扩展通常用于增强编辑器功能。GlassWorm通过“不可见”Unicode字符隐藏恶意代码,安装后窃取GitHub、npm、OpenVSX账户凭据及多扩展程序的加密货币钱包数据,并支持VNC远程访问和SOCKS代理流量路由。最新变种采用AES-256-CBC加密有效载荷,延迟15分钟执行以逃避沙盒分析,使用AppleScript替代PowerShell,通过LaunchAgents实现持久化,同时尝试窃取Keychain密码并替换硬件钱包木马(如Ledger Live、Trezor Suite),但当前木马钱包返回空文件,可能处于准备阶段。研究人员发现,恶意扩展在OpenVSX平台仍存在,下载量超33,000次。
https://www.bleepingcomputer.com/news/security/new-glassworm-malware-wave-targets-macs-with-trojanized-crypto-wallets/
2. Unleash Protocol损失390万美元加密资产
12月31日,去中心化知识产权平台Unleash Protocol因多重签名治理系统被攻击,损失价值约390万美元的加密货币。据项目团队披露,攻击者通过未授权的合约升级获取管理员权限,解锁资产提款功能,导致WIP、USDC、WETH、stIP和vIP等资产被盗。PeckShieldAlert区块链安全专家确认,损失金额约390万美元,资金通过第三方基础设施桥接转移至外部地址,最终以1,337 ETH存入Tornado Cash加密货币混合服务以降低可追溯性。Unleash Protocol定位为知识产权管理操作系统,可将知识产权代币化并作为DeFi抵押品,通过智能合约自动分配许可费和版税。此次攻击暴露其多重签名治理系统的安全漏洞:外部地址通过治理系统获取管理控制权,执行未经团队批准的合约升级,突破原有管理及运营程序限制。攻击者利用Tornado Cash的混淆机制逃避追踪,该服务曾因协助朝鲜黑客洗钱于2022年遭美国制裁,2025年虽被除名,但仍被网络犯罪分子滥用。事件发生后,Unleash Protocol已暂停所有运营,聘请外部安全专家调查漏洞根源,评估补救与恢复措施。
https://www.bleepingcomputer.com/news/security/hackers-drain-39m-from-unleash-protocol-after-multisig-hijack/
3. Play勒索软件攻击百年辣椒酱巨头Garner Foods
1月2日,Play勒索软件组织在暗网发布消息,要求拥有近百年历史的北卡罗来纳州辣椒酱制造商Garner Foods在1月7日前联系并支付未公开赎金,否则将泄露其敏感数据。作为美国知名酱料品牌,Garner Foods自1929年起生产德州皮特、绿山格林戈莎莎酱等系列产品,产品覆盖全美数万家超市、军需店及便利店,并在食品服务与餐饮行业占据重要地位。此次攻击暴露了企业核心数据风险:Play声称窃取了包括私人机密数据、客户文件、预算、工资单、财务信息及税收记录在内的多类敏感信息,可能涉及标志性配方等专有信息。食品生产商遭勒索攻击易引发供应链连锁反应,从生产停滞、交付延迟到产品短缺,不仅损害企业声誉,还可能导致消费者转向竞品。Play组织作为2024-2025年全球第三活跃勒索软件团伙,已造成超千名受害者。其采用“间歇性加密”技术,仅加密系统部分固定区域以快速窃取数据,该策略已被多个知名勒索组织效仿。
https://cybernews.com/news/texas-pete-hot-sauce-play-ransomware-attack-garner-foods/
4. Play勒索软件攻击童鞋巨头Esquire Brands
1月2日,近日,童鞋制造商Esquire Brands遭遇著名勒索软件团伙Play的攻击,该团伙在暗网论坛上宣称已窃取其机密数据,并威胁最早于1月3日公布。作为拥有DKNY、Sam Edelman和Kenneth Cole等品牌授权的企业,Esquire Brands专注于童鞋的设计、授权与生产,其业务覆盖全球多个市场。攻击者声称获取了客户文件、工资数据、财务信息等敏感内容。此类数据泄露可能引发严重后果:工资数据包含员工个人信息,可能被用于身份盗窃、定向网络钓鱼及社会工程攻击,例如冒充高管骗取资金;客户文件和财务信息则可能被用于设立欺诈账户或商业间谍活动,对企业声誉和运营造成长期损害。Play勒索软件集团是网络犯罪领域的活跃参与者,2024年位列全球最活跃勒索软件团伙前三名,以“间歇性加密”技术著称,仅加密系统特定固定部分,从而快速窃取数据。Play的攻击目标涵盖多个行业,如航空航天、云计算、酒店、汽车及政府机构。
https://cybernews.com/security/esquire-brands-play-ransomware-attack/
5. 伊利诺伊州人类服务部内部规划地图错误公开
1月3日,伊利诺伊州人类服务部(IDHS)近日通报一起因隐私设置配置失误引发的数据安全事件,导致内部资源规划地图被意外公开,涉及数万名服务对象个人信息。据披露,涉事地图创建于某地图平台,用于内部资源规划,但因权限设置不当,在2021年4月至2025年9月期间被公众可访问。事件影响范围广泛:康复服务部门(DRS)约32,401名客户信息遭暴露,包括姓名、地址、病例编号、病例状态、转诊来源、区域办公室信息及受益人身份等;医疗补助和医疗保险储蓄计划(MMSP)约672,616名受益人亦受波及,涉及地址、病例编号、人口统计信息及医疗计划名称(如医疗补助、医疗保险等),但未包含姓名。两批数据公开时段分别为2021年4月-2025年9月及2022年1月-2025年9月。该事件于2025年9月22日被发现后,IDHS立即采取补救措施:限制地图访问权限,明确禁止将任何客户级别数据上传至公共地图网站。同时,伊利诺伊州国土安全部正通过邮件等方式向受影响个人发出通知,通知中包含免费咨询电话,便于用户获取更多信息及支持。
https://khqa.com/news/local/illinois-agency-tightens-map-security-after-data-security-incident-human-services-medicaid-medicare-division-of-rehabilitation-services-federal-trade-commission
6. Handala通过入侵Telegram账户攻击以色列官员
1月2日,与伊朗关联的黑客组织Handala宣称完全入侵两名以色列政要——前总理纳夫塔利·贝内特与参谋长察希·布拉弗曼的移动设备,并泄露联系人、照片、视频及约1900条聊天记录。然而,Kela网络情报公司的深度取证分析揭示,所谓“设备入侵”实为Telegram账户安全漏洞的集中暴露:攻击目标仅限于特定Telegram账户,并未获取设备全面访问权限。Kela发现,泄露材料中多数对话为Telegram同步产生的空联系人卡片,仅约40个对话含实际消息,且实质性交流极少。所有曝光联系人均关联活跃Telegram账户,证实数据源自动态云存储而非设备本地。此事件暴露出加密平台账户管理的系统性风险,即便如Telegram这类平台,其默认设置亦放大了攻击面:云密码功能默认禁用,仅需一次性密码即可完整访问账户;标准聊天缺乏端到端加密,数据以云形式存储于服务器,攻击面被显著扩展。
https://cybersecuritynews.com/handala-hackers-targeted-israeli-officials/
京公网安备11010802024551号