锁定集成式开发环境(IDE)工具Visual Studio Code(VS Code)用户的蠕虫程序GlassWorm,约从10月下旬出现首波攻击, 截至11月底已有3波活动,时隔一个月,这些黑客再度活动,而且锁定的目标也出现变化。
安全公司Koi Security指出,具有自我传播能力的蠕虫GlassWorm近期出现第四波攻击。这次活动展现了黑客显著的技术演进,首先,攻击的操作系统目标从Windows全面转向macOS,相关恶意延伸组件pro-svelte-extension、vsce-prettier-pro,以及full-access-catppuccin-pro-extension,迄今已被下载约5万次;再者,是采用专门锁定Ledger与Trezor等硬件钱包应用程序的木马化技术。
该公司提及,黑客的攻击核心机制与以往活动相同,GlassWorm都是从区块链平台Solana取得C2资讯,执行来自C2的指令,不过,这次黑客将有效酬载嵌入经过编译的JavaScript脚本,并使用AES-256-CBC算法进行加密处理。值得留意的是,他们以往使用的特殊手法并未在这次活动出现,例如:无法通过肉眼看到的Unicode字符,或是Rust打造的二进制文件等。
为何黑客将目标转向macOS用户?原因是在加密货币、Web3,以及创业公司的环境里,开发者经常会选择使用这类平台从事工作。Koi Security强调黑客并非单纯将Windows版GlassWorm进行移植,因为macOS版本采用该操作系统专有的技术,其中,包含使用AppleScript代替PowerShell,隐秘执行相关指令;再者,黑客也通过LaunchAgents取代原本于Windows计算机上的工作调度与注册表,而能在受害计算机持续活动;还有他们也直接针对钥匙圈访问(Keychain)下手,挖掘各式帐密数据及凭证。
除此之外,GlassWorm还纳入延迟执行的回避侦测能力,攻击者下达执行命令后,会经过90万毫秒(15分钟)才会执行,之所以这么做,与大部分自动化沙箱检测机制不超过5分钟有关。
值得留意的是,新的GlassWorm不仅能窃取超过50种浏览器的加密货币钱包延伸组件,以及各式的开发环境凭证,黑客也试图置换硬件钱包应用程序。此恶意软件会检查计算机是否安装应用程序Ledger Live或Trezor Suite,并尝试下载被植入木马的版本进行置换。尽管目前攻击者似乎尚未完成恶意版本应用程序制作,或是正在转换基础设施,Koi Security测试后发现,C2服务器回传的是空文件,而无法通过GlassWorm对于文件大小的验证机制,不过他们强调,其他恶意功能都能完全正常运行。
