GlassWorm通过OpenVSX扩大窃取macOS敏感数据

首页 > 安全钻研 > 安全传递 > 安全简讯

GlassWorm通过OpenVSX扩大窃取macOS敏感数据

颁布功夫 2026-02-03

1. GlassWorm通过OpenVSX扩大窃取macOS敏感数据

2月2日，，一种新型GlassWorm恶意软件攻击通过被入侵的OpenVSX扩大法式，，专门针对macOS系统窃取密码、、加密钱包数据、、开发者痛处及配相信息。。威胁行为者获取了合法开发者oorzc的账户权限，，于1月30日向四个被下载22,000次的扩大法式推送含GlassWorm有效载荷的恶意更新。。这些扩大法式此前两年均无害，，批注oorzc账户已遭入侵。。攻击最早出现于2025年10月下旬，，利用“不私见”Unicode字符暗藏恶意代码，，支持基于VNC的远程接见和SOCKS代理职能。。GlassWorm专门针对macOS系统，，可从Solana买卖备忘录提取指令，，且俄语系统未受攻击，，暗示攻击者可能来自非俄语区。。该恶意软件加载macOS信息窃取法式，，通过LaunchAgent成立悠久性，，在用户登录时自动执行，，网络Firefox、、Chromium浏览器数据、、加密钱币钱包利用、、macOS钥匙串、、Apple Notes数据库、、Safari cookie、、开发者密钥及本地文档，，并将所罕见据泄露至攻击者的服务器。。

https://www.bleepingcomputer.com/news/security/new-glassworm-attack-targets-macos-via-compromised-openvsx-extensions/

2. ShinyHunters泄露Panera Bread超1400万账户数据

2月2日，，ShinyHunters犯罪团伙宣称窃取了Panera Bread超过1400万个账户的数据，，并在勒索未果后，，于其数据泄露网站公开了一个760MB的数据存档。。据Have I Been Pwned（HIBP）报道，，这次泄露涉及510万个唯一电子邮件地址及关联的账户信息，，蕴含姓名、、电话号码、、现实地址等。。Panera Bread随后证实泄露数据为联系信息，，并已通知有关部门。。BleepingComputer进一步确认约512万个账户受到影响，，但现实受影响用户数量可能更少，，因存在统一用户使用多个账户的情况。。ShinyHunters团伙暗示，，这次攻击是针对100多家机构的重要身份提供商SSO账户提议的更大规模网络垂钓攻击的一部门，，他们通过Microsoft Entra SSO代码接见了Panera的系统。。Panera作为美国驰名烘焙咖啡连锁店，，成立于1987年，，拥罕见千家分店，，专一于快捷休闲餐饮模式，，这次数据泄露事务再次引发了对其数据安全治理的关注。。

https://securityaffairs.com/187556/data-breach/panera-bread-breach-affected-5-1-million-accounts-hibp-confirms.html

3. 俄APT28利用Office缝隙定向攻击乌欧

2月2日，，乌克兰推算机应急响应小组（CERT-UA）披露，，俄罗斯国度级黑客组织APT28（别号Fancy Bear、、Sofacy，，与俄总照拂部谍报总局GRU关联）正利用微软Office的零日缝隙CVE-2026-21509提议攻击。。微软于2026年1月26日颁布垂危带外安全更新，，象征该缝隙为“正在被积极利用”的零日缝隙。。仅三天后，，CERT-UA便检测到以“欧盟驻乌克兰常驻代表委员会协商”为主题的恶意DOC文件，，同时发现假意乌克兰水文形象中心的垂钓邮件被发送至60余个当局有关地址。。值妥贴心的是，，有关恶意文件的元数据显示其创建功夫恰在微软更新颁布后一日。。攻击技术链显示，，打开恶意文档会触发基于WebDAV的下载链，，通过COM劫持、、恶意DLL、、暗藏在图像文件中的shellcode及打算工作装置恶意软件。。CERT-UA汇报指出，，打算工作执行会导致explorer.exe过程终止并重启，，确保加载恶意DLL，，进而从图像文件中执行shellcode以启动COVENANT框架。。该框架此前曾在2025年6月APT28针对乌克兰当局机构的攻击中被使用。。

https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/

4. OpenClaw开源AI助手遭逢大规模恶意技术攻击

2月2日，，开源AI助手OpenClaw（原称Moltbot和ClawdBot）的官方注册表ClawHub及GitHub平台遭逢大规模恶意技术攻击，，超230个假装成合法工具的恶意软件包被颁布。。这些被称作"技术"的插件以加密钱币买卖自动化、、金融工具等合法职能为幌子，，现实注入恶意软件窃取用户敏感数据，，蕴含API密钥、、钱包私钥、、SSH凭证、、浏览器密码及.env文件等。。安全钻研员Jamieson O'Reilly指出，，大量OpenClaw实例因配置不当导致治理界面露出于公共网络。。攻击者利用此缝隙，，通过名为"AuthTool"的恶意软件传布工具执行习染。。社区安全组织OpenSourceMalware汇报显示，，这次攻击出现规�；氐�，，大量恶意技术库名称高度类似，，部门版本下载量达数千次。。Koi Security扫描ClawHub全数2857个技术库后，，发现341个恶意技术，，并追踪到29个针对ClawHub域名的拼写谬误垂钓网站。。为协助用户防御，，Koi还颁布了免费在线扫描工具，，可通过URL检测技术安全性。。

https://www.bleepingcomputer.com/news/security/malicious-moltbot-skills-used-to-push-password-stealing-malware/

5.新型网络垂钓诳骗利用PDF附件窃取用户凭证

2月2日，，Forcepoint网络安全钻研人员近日披露一种新型多阶段网络垂钓诳骗伎俩，，该手法通过精心设计的“专业邮件+PDF附件”组合绕过传统安全过滤，，最终窃取用户登录凭证。。此类诳骗邮件通常假装成贸易合同、、招标或采采办卖有关通知，，内容看似正规无害，，但关键恶意行为暗藏在PDF附件中。。钻研显示，，诳骗者利用PDF的AcroForms和FlateDecode技术，，在看似通常的办公函档中嵌入可点击按钮。。用户点击后，，会被疏导至第二个托管在Vercel Blob云存储平台上的文档。。由于Vercel是合法云服务，，这种“可信基础设施”利用方式有效躲避了安全软件的拦截。。随后，，该云文档会跳转至伪造的Dropbox登录页面，，其界面与真实页面高度类似，，诱导用户输入邮箱、、密码等敏感信息。。在后盾，，恶意剧本不仅窃取用户凭证，，还会纪录精确的IP地址、、地理地位、、设备类型等扩大信息。。被盗数据通过硬编码方式直接发送至Telegram平台的个人频道，，由黑客节制的机械人接管。。

https://hackread.com/phishing-scam-emails-pdfs-steal-dropbox-logins/

6. 全球云存储订阅诳骗泛滥

1月31日，，从前数月，，一场大规模云存储订阅诳骗活动在全球领域内持续舒展。。诳骗分子通过发送大量恐吓邮件，，谎称用户因“支付失败”或“存储空间不及”导致账户将被关闭、、文件将被删除，，以此制作紧迫感诱导用户点击链接。。邮件中的链接均指向谷歌云存储服务托管的静态重定向HTML文件，，用户点击后会被跳转至随机域名的垂钓页面。。这些页面高度仿照主流云服务商（如谷歌云、、微软OneDrive）的官方界面，，宣称用户存储空间已满，，照片、、视频、、文档等数据将终场备份并面对删除风险，，诱导用户点击“持续”按钮进入虚伪存储检测页面。。该页面始终显示存储空间占满，，要求用户升级云存储套餐以享受“老用户专属8折优惠”，，但现实点击升级按钮后，，用户会被重定向至联盟营销页面，，推广VPN服务、、小众安全软件等无关产品，，最终跳转至结账表单网络用户信誉卡信息，，同时为诳骗分子赚取联盟营销佣金。。

https://www.bleepingcomputer.com/news/security/cloud-storage-payment-scam-floods-inboxes-with-fake-renewals/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研