Uma quarta onda da campanha “GlassWorm” está atacando desenvolvedores macOS por meio de extensões maliciosas para VSCode e OpenVSX, que entregam versões trojanizadas de aplicativos de carteiras de criptomoedas.
As extensões registradas no OpenVSX e no Microsoft Visual Studio Marketplace ampliam as funcionalidades de editores compatíveis com VSCode, adicionando ferramentas de desenvolvimento, suporte a linguagens ou temas para aumentar a produtividade.
Enquanto o Microsoft Marketplace é a loja oficial de extensões para Visual Studio Code, o OpenVSX funciona como uma alternativa aberta e neutra, utilizada principalmente por editores que não suportam ou preferem não depender da loja proprietária da Microsoft.
O malware GlassWorm apareceu nessas plataformas pela primeira vez em outubro, oculto em extensões maliciosas que usavam caracteres Unicode invisíveis para disfarçar sua presença.
Após a instalação, o malware tenta roubar credenciais de contas do GitHub, npm e OpenVSX, além de dados de carteiras de criptomoedas de várias extensões.
Ele também permite acesso remoto via VNC e pode redirecionar o tráfego da vítima usando um proxy SOCKS.
Apesar da exposição pública e do reforço nas defesas, o GlassWorm reapareceu no início de novembro no OpenVSX e voltou em dezembro no VSCode.
Pesquisadores da Koi Security identificaram uma nova campanha do GlassWorm com foco exclusivo em sistemas macOS, diferente das anteriores, que tinham como alvo apenas o Windows.
Desta vez, em vez dos caracteres Unicode invisíveis ou dos binários compilados em Rust usados nas ondas anteriores, os ataques mais recentes utilizam um payload criptografado com AES-256-CBC, embutido em código JavaScript compilado nas extensões do OpenVSX:
- studio-velte-distributor.pro-svelte-extension
- cudra-production.vsce-prettier-pro
- Puccin-development.full-access-catppuccin-pro-extension
A lógica maliciosa é executada após um atraso de 15 minutos, provavelmente para evitar detecção em ambientes sandbox.
No lugar do PowerShell, o malware agora utiliza AppleScript e, para manter persistência, deixa de modificar o Registro do Windows, adotando LaunchAgents no macOS.
O comando e controle (C2) baseado na blockchain Solana permanece o mesmo, e há sobreposição na infraestrutura, segundo os pesquisadores.
Além de mirar mais de 50 extensões de criptomoedas para navegadores e credenciais de desenvolvedores (GitHub, npm), o GlassWorm agora tenta também roubar senhas armazenadas no Keychain.
Outra novidade é a capacidade de detectar aplicativos de carteiras de hardware, como Ledger Live e Trezor Suite, instalados na máquina, substituindo-os por versões trojanizadas.
Entretanto, a Koi Security destaca que esse mecanismo ainda falha, pois as carteiras trojanizadas estão retornando arquivos vazios.
“Isso pode indicar que o ataque está em fase de preparação para os trojans no macOS ou que a infraestrutura está em transição”, explica a Koi Security.
“A funcionalidade está construída e pronta, apenas aguardando o upload dos payloads.
As demais funções maliciosas — roubo de credenciais, acesso ao Keychain, exfiltração de dados e persistência — continuam plenamente operacionais.”
Os contadores de downloads indicam mais de 33 mil instalações, mas esses números frequentemente são manipulados por criminosos para aumentar a credibilidade dos arquivos.
Desenvolvedores que instalaram alguma dessas três extensões devem removê-las imediatamente, alterar suas senhas do GitHub, revogar tokens do npm, verificar o sistema em busca de sinais de infecção ou realizar uma reinstalação completa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...