GlassWorm通过OpenVSX扩展窃取macOS敏感数据

首页 > 清静研究 > 清静转达 > 清静简讯

GlassWorm通过OpenVSX扩展窃取macOS敏感数据

宣布时间 2026-02-03

1. GlassWorm通过OpenVSX扩展窃取macOS敏感数据

2月2日，一种新型GlassWorm恶意软件攻击通过被入侵的OpenVSX扩展程序，专门针对macOS系统窃取密码、加密钱包数据、开发者凭证及设置信息。威胁行为者获取了正当开发者oorzc的账户权限，于1月30日向四个被下载22,000次的扩展程序推送含GlassWorm有用载荷的恶意更新。这些扩展程序此前两年均无害，批注oorzc账户已遭入侵。攻击最早泛起于2025年10月下旬，使用“不可见”Unicode字符隐藏恶意代码，支持基于VNC的远程会见和SOCKS署理功效。GlassWorm专门针对macOS系统，可从Solana生意备忘录提取指令，且俄语系统未受攻击，体现攻击者可能来自非俄语区。该恶意软件加载macOS信息窃取程序，通过LaunchAgent建设长期性，在用户登录时自动执行，网络Firefox、Chromium浏览器数据、加密钱币钱包应用、macOS钥匙串、Apple Notes数据库、Safari cookie、开发者密钥及外地文档，并将所有数据泄露至攻击者的服务器。

https://www.bleepingcomputer.com/news/security/new-glassworm-attack-targets-macos-via-compromised-openvsx-extensions/

2. ShinyHunters泄露Panera Bread超1400万账户数据

2月2日，ShinyHunters犯法团伙声称窃取了Panera Bread凌驾1400万个账户的数据，并在勒索未果后，于其数据泄露网站果真了一个760MB的数据存档。据Have I Been Pwned（HIBP）报道，此次泄露涉及510万个唯一电子邮件地点及关联的账户信息，包括姓名、电话号码、现实地点等。Panera Bread随后证实泄露数据为联系信息，并已通知有关部分。BleepingComputer进一步确认约512万个账户受到影响，但现实受影响用户数目可能更少，因保存统一用户使用多个账户的情形。ShinyHunters团伙体现，此次攻击是针对100多家机构的主要身份提供商SSO账户提倡的更大规模网络垂纶攻击的一部分，他们通过Microsoft Entra SSO代码会见了Panera的系统。Panera作为美国着名烘焙咖啡连锁店，建设于1987年，拥有数千家分店，专注于快捷休闲餐饮模式，此次数据泄露事务再次引发了对其数据清静治理的关注。

https://securityaffairs.com/187556/data-breach/panera-bread-breach-affected-5-1-million-accounts-hibp-confirms.html

3. 俄APT28使用Office误差定向攻击乌欧

2月2日，乌克兰盘算机应急响应小组（CERT-UA）披露，俄罗斯国家级黑客组织APT28（又名Fancy Bear、Sofacy，与俄总照料部情报总局GRU关联）正使用微软Office的零日误差CVE-2026-21509提倡攻击。微软于2026年1月26日宣布紧迫带外清静更新，标记该误差为“正在被起劲使用”的零日误差。仅三天后，CERT-UA便检测到以“欧盟驻乌克兰常驻代表委员会探讨”为主题的恶意DOC文件，同时发明冒充乌克兰水文气象中心的垂纶邮件被发送至60余个政府相关地点。值得注重的是，相关恶意文件的元数据显示其建设时间恰在微软更新宣布后一日。攻击手艺链显示，翻开恶意文档会触发基于WebDAV的下载链，通过COM挟制、恶意DLL、隐藏在图像文件中的shellcode及妄想使命装置恶意软件。CERT-UA报告指出，妄想使命执行会导致explorer.exe历程终止并重启，确保加载恶意DLL，进而从图像文件中执行shellcode以启动COVENANT框架。该框架此前曾在2025年6月APT28针对乌克兰政府机构的攻击中被使用。

https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/

4. OpenClaw开源AI助手遭遇大规模恶意手艺攻击

2月2日，开源AI助手OpenClaw（原称Moltbot和ClawdBot）的官方注册表ClawHub及GitHub平台遭遇大规模恶意手艺攻击，超230个伪装成正当工具的恶意软件包被宣布。这些被称作"手艺"的插件以加密钱币生意自动化、金融工具等正当功效为幌子，现实注入恶意软件窃取用户敏感数据，包括API密钥、钱包私钥、SSH凭证、浏览器密码及.env文件等。清静研究员Jamieson O'Reilly指出，大宗OpenClaw实例因设置不当导致治理界面袒露于公共网络。攻击者使用此误差，通过名为"AuthTool"的恶意软件撒播工具实验熏染。社区清静组织OpenSourceMalware报告显示，此次攻击泛起规�；卣�，大宗恶意手艺库名称高度相似，部分版本下载量达数千次。Koi Security扫描ClawHub所有2857个手艺库后，发明341个恶意手艺，并追踪到29个针对ClawHub域名的拼写过失垂纶网站。为协助用户防御，Koi还宣布了免费在线扫描工具，可通过URL检测手艺清静性。

https://www.bleepingcomputer.com/news/security/malicious-moltbot-skills-used-to-push-password-stealing-malware/

5.新型网络垂纶诈骗使用PDF附件窃取用户凭证

2月2日，Forcepoint网络清静研究职员克日披露一种新型多阶段网络垂纶诈骗手段，该手法通过全心设计的“专业邮件+PDF附件”组合绕过古板清静过滤，最终窃取用户登录凭证。此类诈骗邮件通常伪装成商业条约、招标或采购生意相关通知，内容看似正规无害，但要害恶意行为隐藏在PDF附件中。研究显示，诈骗者使用PDF的AcroForms和FlateDecode手艺，在看似通俗的办公牍档中嵌入可点击按钮。用户点击后，会被指导至第二个托管在Vercel Blob云存储平台上的文档。由于Vercel是正当云服务，这种“可信基础设施”使用方法有用规避了清静软件的阻挡。随后，该云文档会跳转至伪造的Dropbox登录页面，其界面与真实页面高度相似，诱导用户输入邮箱、密码等敏感信息。在后台，恶意剧本不但窃取用户凭证，还会纪录准确的IP地点、地理位置、装备类型等扩展信息。被盗数据通过硬编码方法直接发送至Telegram平台的私人频道，由黑客控制的机械人吸收。

https://hackread.com/phishing-scam-emails-pdfs-steal-dropbox-logins/

6. 全球云存储订阅诈骗漫溢

1月31日，已往数月，一场大规模云存储订阅诈骗运动在全球规模内一连伸张。诈骗分子通过发送大宗吓唬邮件，谎称用户因“支付失败”或“存储空间缺乏”导致账户将被封闭、文件将被删除，以此制造紧迫感诱导用户点击链接。邮件中的链接均指向谷歌云存储服务托管的静态重定向HTML文件，用户点击后会被跳转至随机域名的垂纶页面。这些页面高度模拟主流云服务商（如谷歌云、微软OneDrive）的官方界面，声称用户存储空间已满，照片、视频、文档等数据将阻止备份并面临删除危害，诱导用户点击“继续”按钮进入虚伪存储检测页面。该页面始终显示存储空间占满，要求用户升级云存储套餐以享受“老用户专属8折优惠”，但现实点击升级按钮后，用户会被重定向至同盟营销页面，推广VPN服务、小众清静软件等无关产品，最终跳转至结账表单网络用户信用卡信息，同时为诈骗分子赚取同盟营销佣金。

https://www.bleepingcomputer.com/news/security/cloud-storage-payment-scam-floods-inboxes-with-fake-renewals/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究