Новая атака GlassWorm через расширения OpenVSX нацелена на macOS: кража паролей, данных криптокошельков и учетных данных разработчиков. Вредоносное ПО использует троянизированные расширения для сбора конфиденциальной информации.
Новая атака вредоносного ПО GlassWorm через скомпрометированные расширения OpenVSX нацелена на кражу паролей, данных криптокошельков, учетных данных разработчиков и конфигураций из систем macOS.
Злоумышленник получил доступ к учетной записи легитимного разработчика (oorzc) и опубликовал вредоносные обновления с полезной нагрузкой GlassWorm для четырех расширений, которые были загружены 22 000 раз.
Атаки GlassWorm впервые появились в конце октября, скрывая вредоносный код с помощью «невидимых» символов Unicode для кражи данных криптовалютных кошельков и учетных записей разработчиков. Вредоносное ПО также поддерживает удаленный доступ на основе VNC и SOCKS-проксирование.
Со временем и в ходе нескольких волн атак GlassWorm затронул как официальный маркетплейс Visual Studio Code от Microsoft, так и его опенсорсный аналог для неподдерживаемых IDE — OpenVSX.
В предыдущей кампании GlassWorm продемонстрировал признаки эволюции, нацелившись на системы macOS, а его разработчики работали над добавлением механизма замены для приложений Trezor и Ledger.
В новом отчете команды безопасности Socket описывается новая кампания, которая полагалась на троянизацию следующих расширений:
- oorzc.ssh-tools v0.5.1
- oorzc.i18n-tools-plus v1.6.8
- oorzc.mind-map v1.0.61
- oorzc.scss-to-css-compile v1.3.4
Вредоносные обновления были опубликованы 30 января, и, по данным Socket, расширения были безвредными в течение двух лет. Это позволяет предположить, что учетная запись oorzc, скорее всего, была скомпрометирована операторами GlassWorm.
По словам исследователей, кампания нацелена исключительно на системы macOS, получая инструкции из мемо транзакций Solana. Примечательно, что системы с русскоязычной локалью исключены, что может указывать на происхождение злоумышленника.
GlassWorm загружает средство для кражи информации macOS, которое обеспечивает постоянное присутствие в зараженных системах через LaunchAgent, позволяя выполнять запуск при входе в систему.
Он собирает данные браузера Firefox и Chromium, расширений и приложений кошельков, данные связки ключей macOS, базы данных Apple Notes, файлы cookie Safari, секреты разработчиков и документы из локальной файловой системы, а затем передает все это в инфраструктуру злоумышленника по адресу 45.32.150[.]251.
Socket сообщил о пакетах в Eclipse Foundation, оператору платформы Open VSX, и команда безопасности подтвердила несанкционированный доступ к публикации, отозвала токены и удалила вредоносные релизы.
Единственным исключением является oorzc.ssh-tools, который был полностью удален из Open VSX из-за обнаружения нескольких вредоносных релизов.
В настоящее время версии затронутых расширений на рынке чисты, но разработчикам, загрузившим вредоносные релизы, следует провести полную очистку системы и сменить все свои секреты и пароли.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas