Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нов бран на малициозниот софтвер GlassWorm ги таргетира Mac компјутерите со тројанизирани крипто-паричници

Објавено: 02.01.2026

Четвртиот бран од кампањата „GlassWorm“ ги таргетира macOS развивачите преку малициозни VSCode/OpenVSX екстензии што испорачуваат тројанизирани верзии на апликации за крипто-паричници.

Екстензиите во регистарот OpenVSX и во Microsoft Visual Studio Marketplace ги прошируваат можностите на уредувачите компатибилни со VS Code, додавајќи функционалности и подобрувања на продуктивноста во форма на развојни алатки, поддршка за програмски јазици или теми.

Microsoft Marketplace е официјалната продавница за екстензии за Visual Studio Code, додека OpenVSX служи како отворена, неутрална алтернатива независна од добавувачи, која главно ја користат уредувачи што не поддржуваат или не сакаат да се потпрат на сопствениот (proprietary) маркетплејс на Microsoft.

Малициозниот софтвер GlassWorm првпат се појави на маркетплејсите во октомври, скриен во злонамерни екстензии со користење „невидливи“ Unicode карактери.

Откако ќе се инсталира, малициозниот софтвер се обидува да украде акредитиви за GitHub, npm и OpenVSX сметки, како и податоци од крипто-паричници од повеќе екстензии. Дополнително, поддржува далечински пристап преку VNC и може да го рутира сообраќајот преку машината на жртвата користејќи SOCKS прокси.

И покрај јавната изложеност и засилените одбранбени мерки, GlassWorm повторно се појави на почетокот на ноември на OpenVSX, а потоа уште еднаш на почетокот на декември на VSCode.

GlassWorm повторно активен на OpenVSX

Истражувачите за безбедност од Koi Security открија нова кампања на GlassWorm што исклучиво ги таргетира macOS системите, што претставува отстапување од претходните кампањи кои беа насочени само кон Windows.

Наместо „невидливите“ Unicode карактери користени во првите два бранa, или компајлираните Rust бинарни датотеки од третиот бран, најновите GlassWorm напади користат payload шифриран со AES-256-CBC, вграден во компајлиран JavaScript во OpenVSX екстензиите:

  • studio-velte-distributor.pro-svelte-extension
  • cudra-production.vsce-prettier-pro
  • Puccin-development.full-access-catppuccin-pro-extension

Злонамерната логика се извршува по одложување од 15 минути, најверојатно со цел да се избегне анализа во sandbox опкружувања.

Наместо PowerShell, сега се користи AppleScript, а наместо модификации на Registry, се користат LaunchAgents за постојаност (persistence). Механизмот за командување и контрола (C2) базиран на Solana блокчејнот останува непроменет, а истражувачите наведуваат дека постои и преклопување на инфраструктурата.

Покрај таргетирањето на повеќе од 50 крипто-екстензии за прелистувачи, акредитиви на развивачи (GitHub, NPM) и податоци од прелистувачи, GlassWorm сега се обидува и да краде лозинки од Keychain.

Дополнително, воведена е нова можност со која се проверува дали на системот се инсталирани апликации за хардверски крипто-паричници како Ledger Live и Trezor Suite, по што тие се заменуваат со тројанизирани верзии.

Код за замена на легитимни хардверски паричници

Сепак, од Koi Security забележуваат дека овој механизам моментално не функционира, бидејќи тројанизираните паричници враќаат празни датотеки.

„Ова може да значи дека напаѓачот сè уште ги подготвува macOS тројаните за паричници, или дека инфраструктурата е во фаза на транзиција“, објаснуваат од Koi Security.

„Способноста е изградена и подготвена – само чека да бидат прикачени payload-ите. Сите други малициозни функционалности (кражба на акредитиви, пристап до Keychain, ексфилтрација на податоци, постојаност) остануваат целосно оперативни.“

Кога BleepingComputer провери дали малициозните екстензии сè уште се достапни на OpenVSX, платформата прикажа предупредување за две од нив, со информација дека нивниот издавач не е верификуван.

GlassWorm екстензија на OpenVSX

Бројачите за преземања покажуваат повеќе од 33.000 инсталации, но ваквите бројки често се манипулирани од страна на актери на закани со цел датотеките да изгледаат поверодостојни.

На развивачите кои имаат инсталирано некоја од трите екстензии им се препорачува веднаш да ги отстранат, да ги ресетираат лозинките на своите GitHub сметки, да ги поништат (revokираат) своите NPM токени, да го проверат системот за знаци на инфекција или да го реинсталираат.

Извори:

  • Bleeping Computer – New GlassWorm malware wave targets Macs with trojanized crypto wallets Bleeping Computer