近期，火绒威胁情报中心针对SeanPalia样本的分析发现，这是一款伪装为正常 Electron桌面程序运行的信息窃取木马。样本启动后，会通过main.js加载经过bytenode 编译的decrypted_payload.jsc，并以运行时恢复方式释放主payload。随后，程序会先结束抓包、调试和逆向分析工具，并批量关闭浏览器进程以释放数据库文件锁；之后通过系统性扫描浏览器、Discord、桌面钱包与浏览器钱包扩展等高价值目标，读取Login Data、Web Data、Cookies、History、Bookmarks、Local Storage/leveldb 等本地敏感数据，同时恢复Local State中的Chromium密钥并解密受保护的数据。