鎖定整合式開發環境(IDE)工具Visual Studio Code(VS Code)用戶的蠕蟲程式GlassWorm,約從10月下旬出現首波攻擊,截至11月底已有3波活動,事隔一個月,這些駭客再度活動,而且鎖定的目標也出現變化。
資安公司Koi Security指出,具有自我傳播能力的蠕蟲GlassWorm近期出現第四波攻擊。這次活動展現了駭客顯著的技術演進,首先,攻擊的作業系統目標從Windows全面轉向macOS,相關惡意延伸套件pro-svelte-extension、vsce-prettier-pro,以及full-access-catppuccin-pro-extension,迄今已被下載約5萬次;再者,是採用專門鎖定Ledger與Trezor等硬體錢包應用程式的木馬化技術。
該公司提及,駭客的攻擊核心機制與過往活動相同,GlassWorm都是從區塊鏈平臺Solana取得C2資訊,執行來自C2的指令,不過,這次駭客將有效酬載嵌入經過編譯的JavaScript指令碼,並使用AES-256-CBC演算法進行加密處理。值得留意的是,他們過往使用的特殊手法並未在這次活動出現,例如:無法透過肉眼看到的Unicode字元,或是Rust打造的二進位檔案等。
為何駭客將目標轉向macOS用戶?原因是在加密貨幣、Web3,以及新創公司的環境裡,開發者經常會選擇使用這類平臺從事工作。Koi Security強調駭客並非單純將Windows版GlassWorm進行移植,因為macOS版本採用該作業系統專有的技術,其中,包含使用AppleScript代替PowerShell,隱密執行相關指令;再者,駭客也透過LaunchAgents取代原本於Windows電腦上的工作排程與登錄檔,而能在受害電腦持續活動;還有他們也直接針對鑰匙圈存取(Keychain)下手,挖掘各式帳密資料及憑證。
除此之外,GlassWorm還納入延遲執行的迴避偵測能力,攻擊者下達執行命令後,會經過90萬毫秒(15分鐘)才會執行,之所以這麼做,與大部分自動化沙箱檢測機制不超過5分鐘有關。
值得留意的是,新的GlassWorm不僅能竊取逾50種瀏覽器的加密貨幣錢包延伸套件,以及各式的開發環境憑證,駭客也試圖置換硬體錢包應用程式。此惡意軟體會檢查電腦是否安裝應用程式Ledger Live或Trezor Suite,並嘗試下載被植入木馬的版本進行置換。儘管目前攻擊者似乎尚未完成惡意版本應用程式製作,或是正在轉換基礎設施,Koi Security測試後發現,C2伺服器回傳的是空檔案,而無法通過GlassWorm對於檔案大小的驗證機制,不過他們強調,其他惡意功能都能完全正常運作。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2026-01-02
2025-12-31
2025-12-31