Ni vaš Mac više nije bezbedan: Novi GlassWorm malver krade sve što imate!
Mac računari, dugo smatrani sigurnim utočištem za programere, sada su na meti direktnog napada. Istraživači iz Koi Security-ja otkrili su da je ozloglašeni malver GlassWorm pokrenuo novi talas napada, po prvi put ciljajući isključivo korisnike macOS-a. Ranije kampanje bile su fokusirane na Windows sisteme.
Napad se sprovodi putem lažnih Visual Studio Code ekstenzija, dizajniranih da ukradu kriptovalute, programerske kredencijale i osetljive sistemske podatke. Za korisnike Mac-a, posebno one u kripto i startup sektoru, ovo je ozbiljno upozorenje: čak ni “sigurne” platforme više nisu imune.
Lažni alati kriju stvarnu opasnost
GlassWorm se širi preko Open VSX-a, open-source alternative Microsoftovoj prodavnici ekstenzija za Visual Studio Code. Zlonamerni dodaci predstavljaju se kao legitimni alati za programere, što ih čini teškim za otkrivanje čak i iskusnim korisnicima.
Koi Security je identifikovao tri sumnjive ekstenzije koje su zajedno preuzete više od 50.000 puta. Ipak, broj preuzimanja može biti veštački povećan kako bi se stvorio lažni osećaj poverenja. Sposobnost malvera da se skriva “na vidiku” pokazuje sofisticiranost njegovih kreatora.
Malver koji uči i prilagođava se
GlassWorm je prvi put primećen u oktobru, kada je zlonamerni kod sakrivan pomoću nevidljivih Unicode karaktera. Kada je ova tehnika razotkrivena, napadači su prešli na Rust binarne fajlove, unapredili metode prikrivanja i proširili domet kampanje.
Svaki put kada je kampanja razotkrivena, GlassWorm se vraćao sa novim metodama. „Ovo nije običan malver, on se stalno razvija“, kažu iz Koi Security-ja. Najnovija verzija je posebno izrađena za macOS, pokazujući duboko poznavanje Apple ekosistema.
Zašto su Mac računari sada meta
Prelazak na macOS nije slučajan. Programeri u kripto industriji, Web3 projektima i startupima masovno koriste Mac, čuvajući visoko vredne resurse kao što su kripto-novčanici, SSH ključevi i izvorni kod. Za napadače, kompromitovanje Mac-a donosi znatno veće koristi.
Nova verzija GlassWorm-a koristi AppleScript umesto PowerShell-a, oslanja se na LaunchAgents za postojanost umesto Windows Registry ključeva ili Scheduled Tasks, i direktno cilja macOS Keychain kako bi izvukla sačuvane lozinke. Napad je pažljivo osmišljen da maksimalno iskoristi slabosti Mac sistema.
Dugoročna pretnja i preporuke
GlassWorm šifruje svoj payload koristeći AES-256-CBC i ugrađuje ga u kompajlirani JavaScript kod ekstenzije. Nakon instalacije, malver miruje 15 minuta pre aktivacije, izbegavajući automatske bezbednosne skenove. Komandno-kontrolne instrukcije preuzima putem Solana blokčejna, iz memo polja transakcija, umesto sa klasičnih servera koji se lakše blokiraju.
Malver već cilja preko 50 kripto-novčanika, krade GitHub i npm kredencijale, kopira SSH ključeve i prikuplja kolačiće pregledača, dok izvlači podatke iz macOS Keychain-a. Stručnjaci upozoravaju da ovo nije prolazna kampanja, već dugoročna, multiplatformska pretnja. Korisnicima se savetuje da odmah uklone sumnjive ekstenzije, promene lozinke, opozovu pristupne tokene i, u ozbiljnijim slučajevima, razmotre potpunu reinstalaciju sistema. GlassWorm potvrđuje da čak i pouzdani softverski repozitorijumi više ne garantuju sigurnost.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO:
Test sigurnosti koji je zapanjio sve