GlassWorm通过OpenVSX扩展窃取macOS敏感数据
发布时间 2026-02-031. GlassWorm通过OpenVSX扩展窃取macOS敏感数据
2月2日,一种新型GlassWorm恶意软件攻击通过被入侵的OpenVSX扩展程序,专门针对macOS系统窃取密码、加密钱包数据、开发者凭据及配置信息。威胁行为者获取了合法开发者oorzc的账户权限,于1月30日向四个被下载22,000次的扩展程序推送含GlassWorm有效载荷的恶意更新。这些扩展程序此前两年均无害,表明oorzc账户已遭入侵。攻击最早出现于2025年10月下旬,利用“不可见”Unicode字符隐藏恶意代码,支持基于VNC的远程访问和SOCKS代理功能。GlassWorm专门针对macOS系统,可从Solana交易备忘录提取指令,且俄语系统未受攻击,暗示攻击者可能来自非俄语区。该恶意软件加载macOS信息窃取程序,通过LaunchAgent建立持久性,在用户登录时自动执行,收集Firefox、Chromium浏览器数据、加密货币钱包应用、macOS钥匙串、Apple Notes数据库、Safari cookie、开发者密钥及本地文档,并将所有数据泄露至攻击者的服务器。
https://www.bleepingcomputer.com/news/security/new-glassworm-attack-targets-macos-via-compromised-openvsx-extensions/
2. ShinyHunters泄露Panera Bread超1400万账户数据
2月2日,ShinyHunters犯罪团伙声称窃取了Panera Bread超过1400万个账户的数据,并在勒索未果后,于其数据泄露网站公开了一个760MB的数据存档。据Have I Been Pwned(HIBP)报道,此次泄露涉及510万个唯一电子邮件地址及关联的账户信息,包括姓名、电话号码、实际地址等。Panera Bread随后证实泄露数据为联系信息,并已通知有关部门。BleepingComputer进一步确认约512万个账户受到影响,但实际受影响用户数量可能更少,因存在同一用户使用多个账户的情况。ShinyHunters团伙表示,此次攻击是针对100多家机构的主要身份提供商SSO账户发起的更大规模网络钓鱼攻击的一部分,他们通过Microsoft Entra SSO代码访问了Panera的系统。Panera作为美国知名烘焙咖啡连锁店,成立于1987年,拥有数千家分店,专注于快捷休闲餐饮模式,此次数据泄露事件再次引发了对其数据安全管理的关注。
https://securityaffairs.com/187556/data-breach/panera-bread-breach-affected-5-1-million-accounts-hibp-confirms.html
3. 俄APT28利用Office漏洞定向攻击乌欧
2月2日,乌克兰计算机应急响应小组(CERT-UA)披露,俄罗斯国家级黑客组织APT28(别名Fancy Bear、Sofacy,与俄总参谋部情报总局GRU关联)正利用微软Office的零日漏洞CVE-2026-21509发起攻击。微软于2026年1月26日发布紧急带外安全更新,标记该漏洞为“正在被积极利用”的零日漏洞。仅三天后,CERT-UA便检测到以“欧盟驻乌克兰常驻代表委员会磋商”为主题的恶意DOC文件,同时发现冒充乌克兰水文气象中心的钓鱼邮件被发送至60余个政府相关地址。值得注意的是,相关恶意文件的元数据显示其创建时间恰在微软更新发布后一日。攻击技术链显示,打开恶意文档会触发基于WebDAV的下载链,通过COM劫持、恶意DLL、隐藏在图像文件中的shellcode及计划任务安装恶意软件。CERT-UA报告指出,计划任务执行会导致explorer.exe进程终止并重启,确保加载恶意DLL,进而从图像文件中执行shellcode以启动COVENANT框架。该框架此前曾在2025年6月APT28针对乌克兰政府机构的攻击中被使用。
https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/
4. OpenClaw开源AI助手遭遇大规模恶意技能攻击
2月2日,开源AI助手OpenClaw(原称Moltbot和ClawdBot)的官方注册表ClawHub及GitHub平台遭遇大规模恶意技能攻击,超230个伪装成合法工具的恶意软件包被发布。这些被称作"技能"的插件以加密货币交易自动化、金融工具等合法功能为幌子,实际注入恶意软件窃取用户敏感数据,包括API密钥、钱包私钥、SSH凭证、浏览器密码及.env文件等。安全研究员Jamieson O'Reilly指出,大量OpenClaw实例因配置不当导致管理界面暴露于公共网络。攻击者利用此漏洞,通过名为"AuthTool"的恶意软件传播工具实施感染。社区安全组织OpenSourceMalware报告显示,此次攻击呈现规模化特征,大量恶意技能库名称高度相似,部分版本下载量达数千次。Koi Security扫描ClawHub全部2857个技能库后,发现341个恶意技能,并追踪到29个针对ClawHub域名的拼写错误钓鱼网站。为协助用户防御,Koi还发布了免费在线扫描工具,可通过URL检测技能安全性。
https://www.bleepingcomputer.com/news/security/malicious-moltbot-skills-used-to-push-password-stealing-malware/
5.新型网络钓鱼诈骗利用PDF附件窃取用户凭证
2月2日,Forcepoint网络安全研究人员近日披露一种新型多阶段网络钓鱼诈骗手段,该手法通过精心设计的“专业邮件+PDF附件”组合绕过传统安全过滤,最终窃取用户登录凭证。此类诈骗邮件通常伪装成商业合同、招标或采购交易相关通知,内容看似正规无害,但关键恶意行为隐藏在PDF附件中。研究显示,诈骗者利用PDF的AcroForms和FlateDecode技术,在看似普通的办公文档中嵌入可点击按钮。用户点击后,会被引导至第二个托管在Vercel Blob云存储平台上的文档。由于Vercel是合法云服务,这种“可信基础设施”利用方式有效规避了安全软件的拦截。随后,该云文档会跳转至伪造的Dropbox登录页面,其界面与真实页面高度相似,诱导用户输入邮箱、密码等敏感信息。在后台,恶意脚本不仅窃取用户凭证,还会记录精确的IP地址、地理位置、设备类型等扩展信息。被盗数据通过硬编码方式直接发送至Telegram平台的私人频道,由黑客控制的机器人接收。
https://hackread.com/phishing-scam-emails-pdfs-steal-dropbox-logins/
6. 全球云存储订阅诈骗泛滥
1月31日,过去数月,一场大规模云存储订阅诈骗活动在全球范围内持续蔓延。诈骗分子通过发送大量恐吓邮件,谎称用户因“支付失败”或“存储空间不足”导致账户将被封锁、文件将被删除,以此制造紧迫感诱导用户点击链接。邮件中的链接均指向谷歌云存储服务托管的静态重定向HTML文件,用户点击后会被跳转至随机域名的钓鱼页面。这些页面高度模仿主流云服务商(如谷歌云、微软OneDrive)的官方界面,声称用户存储空间已满,照片、视频、文档等数据将停止备份并面临删除风险,诱导用户点击“继续”按钮进入虚假存储检测页面。该页面始终显示存储空间占满,要求用户升级云存储套餐以享受“老用户专属8折优惠”,但实际点击升级按钮后,用户会被重定向至联盟营销页面,推广VPN服务、小众安全软件等无关产品,最终跳转至结账表单收集用户信用卡信息,同时为诈骗分子赚取联盟营销佣金。
https://www.bleepingcomputer.com/news/security/cloud-storage-payment-scam-floods-inboxes-with-fake-renewals/
京公网安备11010802024551号