Nieuwe variant van GlassWorm-malware richt zich op macOS-ontwikkelaars

In dit artikel:

GlassWorm duikt opnieuw op, nu met een campagne die zich specifiek op macOS-ontwikkelaars richt. Onderzoekers van Koi Security ontdekten dat de malware, die sinds oktober via ontwikkelaarsmarketplaces circuleert, nu macOS-systemen als doelwit heeft. Eerdere versies werden in oktober in de Microsoft Visual Studio Marketplace gesignaleerd en later in november op OpenVSX en in december op de VSCode Marketplace; aanvankelijk waren vooral Windows-varianten actief.

De nieuwste GlassWorm-variant verstopt een met AES-256-CBC versleutelde payload in JavaScript in plaats van de eerdere technieken (zoals onzichtbare Unicode of gecompileerde Rust-binaries). De malware speurt naar credentials voor GitHub en npm, oogst browserdata en Keychain-wachtwoorden, en target meer dan vijftig crypto-gerelateerde browserextensies. Een opvallende, nieuwe capaciteit is het detecteren en vervangen van desktopsoftware voor hardwarematige cryptowallets (bijvoorbeeld Ledger Live en Trezor Suite) door een malafide versie om zo toegang tot wallets te verkrijgen. Deze vervangingsfunctie werkt nog niet helemaal: de nep-wallets leveren vooralsnog lege data terug, wat wijst op een nog niet afgewerkte backend of ontwikkeling in uitvoering.

Advies aan ontwikkelaars en gebruikers: controleer en verwijder verdachte extensies, installeer software alleen van officiële bronnen, houd systemen en tooling up-to-date en schakel waar mogelijk tweefactorauthenticatie en extra verificatie voor wallettransacties in.