Un nou atac GlassWorm vizează macOS
Sursă: https://www.bleepingcomputer.com
Un nou atac malware GlassWorm prin intermediul extensiilor OpenVSX compromise se concentrează pe sustragerea parolelor, a datelor din portofelele criptografice și a credențialelor și configurațiilor dezvoltatorilor din sistemele macOS.
Persoana rău intenționată a obținut acces la contul unui dezvoltator legitim (oorzc) și a introdus actualizări malițioase cu payload GlassWorm în 4 extensii ce fuseseră descărcate de 22.000 de ori.
Atacurile GlassWorm au apărut pentru prima dată la sfârșitul lunii octombrie, ascunzând codul rău intenționat folosind caractere Unicode invizibile pentru a sustrage detaliile portofelului de criptomonede și ale contului dezvoltatorului. Malware-ul acceptă, de asemenea, accesul la distanță bazat pe VNC și proxy SOCKS.
De-a lungul timpului și în urma mai multor valuri de atacuri, GlassWorm a afectat atât platforma oficială Visual Studio Code a Microsoft, cât și alternativa open-source pentru IDE-urile neacceptate, OpenVSX.
Într-o campanie anterioară, GlassWorm a dat semne de evoluție, vizând sistemele macOS, iar dezvoltatorii săi lucrau la adăugarea unui mecanism de înlocuire pentru aplicațiile Trezor și Ledger.
Prin intermediul unui raport s-a descris o nouă campanie care s-a bazat pe infectarea cu programre de tip trojan ale următoarelor extensii:
- oorzc.ssh-tools v0.5.1;
- oorzc.i18n-tools-plus v1.6.8;
- oorzc.mind-map v1.0.61;
- oorzc.scss-to-css-compile v1.3.4.
Actualizările rău intenționate au fost lansate pe 30 ianuarie, iar Socket raportează că extensiile au fost inofensive timp de doi ani. Acest lucru sugerează că probabil contul oorzc a fost compromis de operatorii GlassWorm.
GlassWorm încarcă un program de sustragere de informații pentru macOS care se instalează permanent pe sistemele infectate prin intermediul unui LaunchAgent, permițând executarea la conectare.
Acesta colectează date din browserele Firefox și Chromium, extensii și aplicații de portofel, date din keychain-ul macOS, baze de date Apple Notes, cookie-uri Safari, secrete ale dezvoltatorilor și documente din sistemul de fișiere local, și exfiltrează totul către infrastructura atacatorului.
Singura excepție este oorzc.ssh-tools, care a fost eliminată complet din Open VSX din cauza descoperirii mai multor versiuni rău intenționate.
În prezent, versiunile extensiilor afectate disponibile sunt curate, dar dezvoltatorii care au descărcat versiunile rău intenționate ar trebui să efectueze o curățare completă a sistemului și să schimbe toate parolele și datele secrete.
Sursă: https://www.bleepingcomputer.com/news/security/new-glassworm-attack-targets-macos-via-compromised-openvsx-extensions/
