Istraživači iz kompanije Koi Security upozorili su na novi talas napada zlonamjernog softvera GlassWorm, koji po prvi put isključivo cilja macOS developere. Napadi se sprovode putem lažnih ekstenzija za Visual Studio Code, osmišljenih da kradu kriptovalute, pristupne podatke i osjetljive informacije sa sistema.
Ovo je četvrti talas GlassWorm kampanje u nešto više od dva mjeseca, ali ujedno i prvi koji je u potpunosti usmjeren na Apple računare.
Kako se GlassWorm širi
GlassWorm se distribuira putem Open VSX platforme, open-source alternative Microsoftovoj zvaničnoj prodavnici ekstenzija za Visual Studio Code. Zlonamjerne ekstenzije predstavljene su kao legitimni alati za developere.
Koi Security je identifikovao tri sumnjive ekstenzije na Open VSX-u koje su zajedno imale više od 50.000 preuzimanja. Istraživači upozoravaju da se broj preuzimanja može vještački uvećati kako bi se stvorio lažni osjećaj povjerenja.
GlassWorm je prvi put uočen u oktobru, kada je zlonamjerni kod bio skriven pomoću „nevidljivih“ Unicode znakova. U kasnijim fazama napadači su prešli na kompajlirane Rust binarne fajlove i dodatno proširili domet kampanje. Iako je više puta javno razotkriven, malware se svaki put vraćao sa unaprijeđenim tehnikama.
„GlassWorm nije samo uporan – on evoluira. A sada cilja i vaš Mac“, upozorili su istraživači.
Zašto su Mac računari sada meta
Ranije verzije GlassWorma bile su fokusirane na Windows korisnike i koristile su drugačije metode prikrivanja. Prema navodima Koi Securityja, prelazak na macOS nije slučajan.
Developeri, posebno oni koji rade u oblasti kriptovaluta, Web3 tehnologija i startupa, u velikoj mjeri koriste Mac računare, što ih čini izuzetno vrijednim metama. Na ovaj način napadači mogu doći do kripto novčanika, izvornog koda i developerskih pristupnih podataka.
Tehnički detalji macOS varijante
Nova varijanta GlassWorma razvijena je posebno za macOS. Umjesto PowerShella koristi AppleScript, oslanja se na LaunchAgents umjesto Registry ključeva i zakazanih zadataka za održavanje prisutnosti u sistemu, te direktno cilja macOS Keychain kako bi izvukla sačuvane lozinke.
„Napadač je izuzetno dobro upoznat sa macOS-om. Ovo je profesionalno urađeno“, navodi Koi Security.
Zlonamjerni payload je šifrovan algoritmom AES-256-CBC i ugrađen u kompajlirani JavaScript kod same ekstenzije. Nakon instalacije, malware čeka 15 minuta prije aktivacije, čime izbjegava automatske sigurnosne analize koje obično traju kraće.
Komunikacija putem blockchaina
Za komunikaciju sa komandno-kontrolnim serverima GlassWorm i dalje koristi Solana blockchain. Instrukcije se preuzimaju iz memo polja blockchain transakcija, čime se izbjegava oslanjanje na klasične servere koji se lakše mogu blokirati ili ugasiti.
Istraživači su takođe pronašli kod koji omogućava zamjenu legitimnih aplikacija za hardverske kripto novčanike, poput Ledger Live i Trezor Suite, njihovim zaraženim verzijama. Iako ova funkcionalnost još nije u potpunosti aktivna, može biti omogućena u bilo kojem trenutku.
Koliko je prijetnja ozbiljna
Čak i bez te funkcije, GlassWorm predstavlja ozbiljnu prijetnju. Malware cilja više od 50 kripto novčanika, krade GitHub i npm kredencijale, kopira SSH ključeve, preuzima kolačiće iz pregledača i izvlači podatke iz macOS Keychaina.
Stručnjaci upozoravaju da se GlassWorm malware razvija u dugoročnu, multiplatformsku prijetnju. Korisnicima koji sumnjaju da su instalirali zlonamjerne ekstenzije savjetuje se da ih odmah uklone, promijene sve kompromitovane lozinke, opozovu pristupne tokene i razmotre potpunu reinstalaciju sistema.
Ovaj slučaj još jednom pokazuje koliko su softverski lanci snabdijevanja postali privlačna meta napadača i da čak ni alati preuzeti sa poznatih platformi ne bi trebalo da se uzimaju zdravo za gotovo.
