GlassWorm, первоначально идентифицированный как первый самораспространяющийся червь, нацеленный на расширения кода Visual Studio, претерпел значительную эволюцию. Что начиналось как атаки с использованием невидимых символов Unicode для сокрытия вредоносного кода, превратилось в многофронтовую кампанию с изменяющимися векторами доставки, адаптированной инфраструктурой C2 и новыми целями — от традиционных Windows‑систем до устройств на macOS и hardware wallets.
Краткая хронология эволюции
Атакующие развивали инструмент последовательно, переходя через несколько операционных волн (Wave). Ключевые вехи выглядят так:
- Ранние волны — использование невидимых символов Unicode для сокрытия вредоносных фрагментов в коде расширений Visual Studio.
- Wave 3 — внедрение скомпилированных двоичных файлов на языке Rust, что усложнило анализ и повысило устойчивость полезной нагрузки.
- Wave 4 — принципиальный сдвиг: злоумышленник перестаёт ограничиваться Windows и начинает активно таргетировать macOS. Параллельно меняется метод доставки — в качестве одного из механизмов используется зашифрованный JavaScript.
Методы доставки и усложнение обратного проектирования
Переход от текстовых трюков с Unicode к нативным двоичным файлам на Rust уже был серьёзным усложнением для исследователей. В Wave 4 злоумышленники добавляют зашифрованный JavaScript как новый канал доставки, что значительно повышает барьер при статическом и динамическом анализе — исследователям приходится сначала расшифровывать загрузчики, а затем уже анализировать получаемые модули.
Инфраструктура командования и контроля (C2) и блокчейн‑следы
Инфраструктура C2 также адаптировалась, при этом её можно частично отслеживать через связанные с операцией блокчейн‑транзакции. Пример из отчета иллюстрирует непрерывность деятельности злоумышленника: транзакция 27 ноября привела к получению IP‑адреса 217.69.11.60, который позже к декабрю сменился на 45.32.151.157. Это указывает на постоянную ротацию инфраструктуры при сохранении общей координации атак.
Новая функциональность: трояны для hardware wallets
Одним из самых тревожных изменений в Wave 4 стало появление модулей, нацеленных на hardware wallets. Эта функциональность расширяет возможности GlassWorm: помимо кражи учетных данных и установки бэкдоров (как в предыдущих версиях), вредонос может пытаться заменить легитимные приложения кошельков на скомпрометированные аналоги, тем самым получить доступ к средствам пользователей.
«Эволюция GlassWorm демонстрирует его превращение в кроссплатформенную угрозу, указывая на более широкий спектр нацеленных векторов атак и необходимость повышенной бдительности среди пользователей, особенно тех, кто работает на системах macOS.»
Даже при невозможности активировать трояны для hardware wallets, оставшаяся полезная нагрузка способна нанести существенный ущерб: установка бэкдоров, эксфильтрация данных, перекрытие обновлений и подмена компонентов.
Что это значит для пользователей и компаний
Ключевые выводы и практические рекомендации для повышения безопасности:
- Понимать, что угрозы становятся кроссплатформенными: защищать нужно не только Windows‑окружения, но и macOS‑машины.
- Усилить контроль над источниками расширений и плагинов (особенно для Visual Studio) — использовать подписанные и проверенные репозитории.
- Внедрить процессы проверки целостности и подписи для приложений hardware wallets; ограничить установку сторонних бинарников и отслеживать подмены.
- Мониторить сетевую активность и аномалии в соединениях с внешними IP‑адресами; хранить и анализировать телеметрию для выявления ротаций C2 (включая подозрительные блокчейн‑транзакции).
- Регулярно обновлять системы защиты и обучать сотрудников методам выявления фишинга и инсталляции неизвестных расширений.
Заключение
GlassWorm вышел за рамки локальной угрозы для расширений Visual Studio и превратился в адаптирующуюся, мультивекторную платформу атак. Переход к таргетированию macOS, использование Rust‑бинарников и зашифрованного JavaScript, а также добавление модулей для hardware wallets делает кампанию особенно опасной для разработчиков, криптовладельцев и организаций с распределённой инфраструктурой. Это требует пересмотра подходов к верификации ПО, усиления мониторинга и повышения общей кибергигиены.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "GlassWorm: эволюция кроссплатформенной угрозы для macOS и кошельков".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.
