GlassWorm a fait son apparition pour la première fois en octobre, dissimulé dans des extensions en apparence inoffensives sur le Microsoft Visual Studio Marketplace et la plateforme alternative OpenVSX. Ces extensions promettaient des fonctionnalités supplémentaires ou un gain de productivité, mais se sont en réalité révélées être une porte dérobée vers des données sensibles. Les développeurs constituent actuellement la cible principale, avec des extensions malveillantes pour VS Code qui installent à leur insu des versions trojanisées de crypto-portefeuilles. Après des campagnes précédentes sur Windows, il s’agit désormais de la quatrième vague, mais c’est la première à cibler exclusivement les Mac. C’est ce que rapporte Bleeping Computer.
Des signes cachés au code chiffré
Alors que les précédentes variantes de GlassWorm utilisaient des caractères Unicode invisibles ou des binaires Rust compilés, cette nouvelle version adopte une approche différente. Les chercheurs de Koi Security ont découvert que le logiciel malveillant contient désormais une charge utile chiffrée en AES-256, dissimulée dans du code JavaScript compilé au sein d’extensions OpenVSX. Il s’agit notamment des extensions suivantes :
Une fois installé, le code malveillant reste volontairement inactif pendant 15 minutes. Ce délai semble avoir pour but de contourner les analyses de sécurité automatiques et les environnements sandbox.
Accès approfondi au système et aux portefeuilles
Une fois activé, GlassWorm bascule d’AppleScript vers PowerShell et s’intègre via les LaunchAgents de macOS afin de se réactiver à chaque démarrage. La communication avec les serveurs de commande et de contrôle s’effectue toujours via la blockchain Solana, une technique déjà utilisée par les variantes précédentes.
Ce logiciel malveillant agit sur plusieurs fronts à la fois. Il tente de dérober les identifiants de connexion des comptes GitHub, npm et OpenVSX, vole les données du navigateur et va même jusqu’à extraire les mots de passe du trousseau de macOS. De plus, GlassWorm cible plus de cinquante extensions de crypto-monnaie pour navigateurs. Une nouveauté est que le malware vérifie également si des applications de portefeuille matériel populaires telles que Ledger Live et Trezor Suite sont présentes. Dans ce cas, il tente de les remplacer par une version infectée. Pour l’instant, ce mécanisme ne semble pas encore fonctionner pleinement : les fichiers du cheval de Troie s’avèrent vides.
Selon Koi Security, cela ne devrait être que temporaire. « L’infrastructure est prête. Dès que les pirates auront téléchargé leurs charges utiles, tous les éléments seront en place pour que cette attaque aboutisse », explique-t-on.
On trouve encore des extensions
Au moins deux des extensions suspectes semblent toujours disponibles sur OpenVSX, bien qu’un avertissement indique que l’éditeur n’a pas été vérifié. Le nombre de téléchargements s’élève à plus de 33 000 installations, même s’il convient de noter que ces chiffres sont souvent gonflés artificiellement pour inspirer confiance.
Les développeurs qui ont installé l’une des extensions mentionnées auraient tout intérêt à la désinstaller immédiatement. Il est également recommandé de modifier les mots de passe GitHub, de révoquer les jetons npm et de procéder à une vérification approfondie du système. En cas de doute, une réinstallation complète de macOS n’est pas une mauvaise idée.
GlassWorm démontre une fois de plus à quel point les développeurs et les utilisateurs de cryptomonnaies sont une cible de choix pour les cybercriminels, et à quel point des extensions en apparence inoffensives peuvent être dangereuses.
