火绒安全

火绒安全团队于2026年3月24日发现并捕获了针对Python开源组件Litellm的恶意供应链攻击事件，本次攻击通过在组件安装包中植入恶意代码实现攻击，影响范围广泛，风险等级极高。目前，火绒安全产品可对上述被污染模块进行查杀、拦截。

近期，火绒威胁情报中心监测发现，虚假的OpenClaw安装包正借助Github进行传播。该安装包本质为下载器，会依照云控下发的配置，下载并依次执行五类恶意程序，其中涵盖多种窃密木马、SOCKS5反向代理及下载器等恶意程序。其中，窃密木马可通过云控配置或样本内置逻辑，对“下载”“文档”目录以及Discord、Telegram、Steam等应用中的数据加以收集，并上传至远控服务器以实施窃取。在执行过程中，样本还会结合鼠标行为、用户名、分辨率等环境特征开展虚拟机或沙箱检测，以达成规避分析和免杀的目的。目前，火绒安全产品可对上述病毒进行拦截查杀。

近年来，BYOVD（自带漏洞驱动）攻击已成为恶意程序对抗安全软件的主流手段，银狐、挖矿、勒索等常见恶意程序频繁利用带有合法数字签名的漏洞驱动，绕过Windows系统强制驱动签名限制，获取系统内核最高权限，结束安全软件进程，对用户系统安全造成严重威胁。