Egy újonnan azonosított GlassWorm-kártevőkampány kompromittált OpenVSX-bővítményeken keresztül macOS rendszereket vett célba. A támadás célja jelszavak, kriptovaluta-tárcákhoz kapcsolódó adatok, valamint fejlesztői hitelesítő adatok és konfigurációk megszerzése volt.
Az incidens során a támadók jogosulatlan hozzáférést szereztek egy legitim fejlesztői fiókhoz, amelyen keresztül kártékony frissítéseket tettek közzé több, széles körben használt bővítményhez. A vizsgálatok szerint az „oorzc” nevű fejlesztői fiók kompromittálódott és ezen keresztül négy OpenVSX-bővítményhez publikáltak rosszindulatú frissítéseket. Az érintett bővítményeket összesen mintegy 22 ezer alkalommal töltötték le. A kártékony verziók GlassWorm-kódrészleteket tartalmaztak, amelyek a fertőzött macOS rendszereken érzékeny adatok gyűjtésére szolgáltak.
A GlassWorm kártevőt először október végén észlelték. A korai kampányok során a rosszindulatú kódot „láthatatlan” Unicode-karakterekkel rejtették el, megnehezítve a felismerést. A kártevő célzottan kriptovaluta-tárcákhoz és fejlesztői fiókokhoz kapcsolódó adatokat gyűjtött és támogatta a VNC-alapú távoli hozzáférést, valamint a SOCKS-proxy funkciót is.
A GlassWorm több támadási hullámban jelent meg, és mind a Microsoft hivatalos Visual Studio Code-piacterét, mind annak nyílt forráskódú alternatíváját, az OpenVSX-et is érintette. Egy korábbi kampány során a kártevő fejlődésének jelei mutatkoztak. A támadók kifejezetten macOS rendszerek ellen optimalizálták a működést, valamint olyan mechanizmus kialakításán dolgoztak, amely a Trezor és Ledger kriptotárca-alkalmazások helyettesítésére lett volna alkalmas.
A Socket jelentése szerint a legutóbbi kampány során a támadók az alábbi bővítményekhez trójai jellegű, rosszindulatú módosításokat tartalmazó frissítéseket tettek közzé:
- oorzc[.]ssh-tools v0.5.1
- oorzc[.]i18n-tools-plus v1.6.8
- oorzc[.]mind-map v1.0.61
- oorzc[.]scss-to-css-compile v1.3.4
A kártékony frissítéseket január 30-án tették közzé. Az érintett bővítmények az azt megelőző két évben nem tartalmaztak rosszindulatú elemeket. A kutatók megállapították, hogy a kampány kizárólag macOS rendszereket célzott. A GlassWorm egy információgyűjtő modult töltött le, amely LaunchAgent segítségével perzisztenciát biztosított. Ezt követően böngészőadatokat, kriptotárca-információkat, macOS keychainben tárolt hitelesítő adatokat, Apple Notes-adatbázisokat, bizalmas fejlesztői adatokat, valamint helyi fájlokat gyűjtött össze, majd azokat a támadók infrastruktúrájára továbbította.
A Socket jelentette az érintett csomagokat az OpenVSX-platformot üzemeltető Eclipse Foundation részére. Az értesítést követően a biztonsági csapat visszavonta az érintett tokeneket, eltávolította a kártékony kiadásokat, valamint az oorzc[.]ssh-tools bővítményt teljes egészében törölte.
Jelenleg az érintett bővítmények elérhető verziói nem tartalmaznak kártékony kódot, azonban az érintett fejlesztők számára javasolt a rendszerellenőrzés és hitelesítő adatok cseréje.