Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нов напад со GlassWorm ги таргетира macOS системите преку компромитирани OpenVSX екстензии

Објавено: 03.02.2026

Нов напад со малициозниот софтвер GlassWorm преку компромитирани OpenVSX екстензии е насочен кон кражба на лозинки, податоци од крипто-паричници, како и програмерски акредитиви и конфигурации од macOS системи.

Напаѓачот добил пристап до сметката на легитимен програмер (oorzc) и објавил малициозни ажурирања со GlassWorm payload во четири екстензии кои биле преземени околу 22.000 пати.

Нападите со GlassWorm првпат се појавија кон крајот на октомври, при што малициозниот код беше сокриен со користење на „невидливи“ Unicode знаци со цел кражба на податоци од крипто-паричници и програмерски сметки. Малициозниот софтвер исто така поддржува далечински пристап базиран на VNC и SOCKS проксирање. Со текот на времето и низ повеќе бранови на напади, GlassWorm ги погоди и официјалниот Visual Studio Code маркетплејс на Microsoft и неговата open-source алтернатива за неподдржани IDE-а, OpenVSX.

Во претходна кампања, GlassWorm покажа знаци на еволуција со таргетирање на macOS системи, а неговите развивачи работеа и на додавање механизам за замена на апликациите Trezor и Ledger.

Нов извештај од безбедносниот тим на Socket опишува нова кампања која се потпирала на тројанизирање на следните екстензии:

  • oorzc.ssh-tools v0.5.1
  • oorzc.i18n-tools-plus v1.6.8
  • oorzc.mind-map v1.0.61
  • oorzc.scss-to-css-compile v1.3.4

Малициозните ажурирања биле објавени на 30 јануари, а Socket наведува дека екстензиите биле безопасни во период од две години. Ова укажува дека сметката oorzc најверојатно била компромитирана од операторите на GlassWorm.

Според истражувачите, кампањата исклучиво ги таргетира macOS системите, при што инструкциите се преземаат од мемо-полињата на Solana трансакции. Забележливо е дека системите со руска локализација се исклучени, што може да укажува на потеклото на напаѓачот.

Проверки на околината пред извршување на хостот

GlassWorm вчитува macOS малициозен софтвер за кражба на информации кој воспоставува перзистентност на заразените системи преку LaunchAgent, овозможувајќи извршување при најавување (login).

Тој собира податоци од прелистувачи како Firefox и Chromium, екстензии за паричници и апликации за крипто-паричници, податоци од macOS Keychain, бази на податоци од Apple Notes, Safari колачиња, програмерски тајни, како и документи од локалниот датотечен систем, и сè тоа го ексфилтрира кон инфраструктурата на напаѓачот на 45.32.150[.]251.

Активности за кражба на податоци

Socket ги пријави пакетите до Eclipse Foundation, операторот на платформата Open VSX, а безбедносниот тим потврди неовластен пристап за објавување, ги повлече (revoked) токените и ги отстрани малициозните изданија.

Единствен исклучок е oorzc.ssh-tools, кој беше целосно отстранет од Open VSX поради откривање на повеќе малициозни изданија.

Во моментов, верзиите на засегнатите екстензии што се достапни на пазарот се чисти, но програмерите кои ги преземале малициозните изданија треба да извршат целосно чистење на системот и да ги ротираат (променат) сите свои тајни и лозинки.

Извори:

  • Bleeping Computer – New GlassWorm attack targets macOS via compromised OpenVSX extensions Bleeping Computer