Cybercriminelen hebben opnieuw een golf van de GlassWorm-malware losgelaten, dit keer specifiek gericht op macOS-gebruikers.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Nieuwe GlassWorm-aanval richt zich op Macs
GlassWorm dook voor het eerst op in oktober, verstopt in ogenschijnlijk onschuldige extensies op de Microsoft Visual Studio Marketplace en het alternatieve OpenVSX-platform. Die extensies beloofden extra functies of productiviteitswinst, maar bleken in werkelijkheid een achterpoortje naar gevoelige data. Ontwikkelaars vormen op dit moment het voornaamste doelwit, met kwaadaardige extensies voor VS Code die ongemerkt trojanversies van cryptowallets installeren. Na eerdere campagnes op Windows is dit inmiddels de vierde golf, maar wel de eerste die zich uitsluitend op Macs richt. Dat meldt Bleeping Computer.
Van verborgen tekens naar versleutelde code
Waar eerdere GlassWorm-varianten gebruikmaakten van onzichtbare Unicode-tekens of gecompileerde Rust-binaries, kiest deze nieuwe versie voor een andere aanpak. Onderzoekers van Koi Security ontdekten dat de malware nu een met AES-256 versleutelde payload bevat, verstopt in gecompileerde JavaScript-code binnen OpenVSX-extensies. Het gaat onder meer om deze extensies:
- studio-velte-distributor.pro-svelte-extension
- cudra-production.vsce-prettier-pro
- Puccin-development.full-access-catppuccin-pro-extension
Na installatie blijft de schadelijke code bewust 15 minuten inactief. Dat uitstel lijkt bedoeld om automatische beveiligingsanalyses en sandboxomgevingen te omzeilen.
Diepe toegang tot systeem en wallets
Eenmaal actief schakelt GlassWorm over op AppleScript in plaats van PowerShell en nestelt het zich via macOS LaunchAgents om bij elke opstart opnieuw actief te worden. De communicatie met de command-and-controlservers verloopt nog steeds via de Solana-blockchain, een techniek die eerdere varianten ook al gebruikten.
De malware richt zich op meerdere fronten tegelijk. Ze probeert inloggegevens buit te maken van GitHub-, npm- en OpenVSX-accounts, steelt browserdata en leest zelfs wachtwoorden uit de macOS-sleutelhanger. Daarnaast jaagt GlassWorm op meer dan vijftig crypto-extensies voor browsers. Nieuw is dat de malware ook controleert of populaire hardware-walletapps zoals Ledger Live en Trezor Suite aanwezig zijn. In dat geval probeert ze die te vervangen door een besmette versie. Voorlopig lijkt dat mechanisme nog niet volledig te werken: de trojanbestanden blijken leeg te zijn.
Volgens Koi Security is dat waarschijnlijk tijdelijk. “De infrastructuur staat klaar. Zodra de aanvallers hun payloads uploaden, is alles aanwezig om ook deze aanval te laten slagen”, klinkt het.
Extensies nog steeds te vinden
Minstens twee van de verdachte extensies blijken nog altijd beschikbaar op OpenVSX, weliswaar met een waarschuwing dat de uitgever niet geverifieerd is. De downloadcijfers lopen op tot meer dan 33.000 installs, al wordt erbij aangetekend dat zulke aantallen vaak kunstmatig opgekrikt worden om vertrouwen te wekken.
Ontwikkelaars die een van de genoemde extensies geïnstalleerd hebben, doen er goed aan die meteen te verwijderen. Daarnaast wordt aangeraden om GitHub-wachtwoorden te wijzigen, npm-tokens in te trekken en het systeem grondig te controleren. In twijfelgevallen is een volledige herinstallatie van macOS geen overbodige luxe.
GlassWorm toont nog maar eens aan hoe aantrekkelijk ontwikkelaars en crypto-gebruikers zijn voor cybercriminelen, en hoe gevaarlijk ogenschijnlijk onschuldige extensies kunnen zijn.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Onderwerp: Beveiliging
Abonneer op Clickx
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
