SOC Prime Bias: 심각

19 Jan 2026 16:11 UTC

GlassWorm, Mac으로 진출: 신선한 인프라, 새로운 트릭

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
GlassWorm, Mac으로 진출: 신선한 인프라, 새로운 트릭
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

GlassWorm 뒤의 위협 행위자는 Windows 중심 활동에서 macOS로 피벗하여 Solana 블록체인 기반 C2 포인터를 통해 암호화된 JavaScript 페이로드를 가져오는 악성 VS Code 확장 프로그램을 배포하고 있습니다. 이 파동은 하드웨어 지갑 트로이 목마화(trojanization)를 추가함으로써 브라우저, 개발자 툴링, macOS 키체인 전체에 걸쳐 자격 증명 도용을 계속하면서 기능을 확장합니다. 인프라에는 과거 GlassWorm 작전에서 재사용된 Solana 지갑 주소와 IP가 포함되어 있어 운영 도구와 호스팅의 지속성을 시사합니다. 연구자들은 확장 프로그램이 제거되기 전까지 5만 회 이상의 다운로드가 있었음을 관찰하여 개발자 환경에 대한 의미 있는 노출을 나타냅니다.

조사

Koi Security는 Open VSX 마켓에서 세 개의 악성 VS Code 확장을 식별하고 이들의 명령 및 제어 워크플로우를 Solana 지갑 및 이전에 GlassWorm에 연결된 IP 주소와 연결했습니다. 임플란트는 15분의 실행 지연 시간을 포함하며 이후 AES-256-CBC JavaScript 페이로드를 해독하여 실행합니다. macOS에서는 LaunchAgents를 통해 지속성이 수립됩니다. 수집 대상은 브라우저 지갑 및 데스크탑 지갑 데이터, 개발자 액세스 토큰, SSH 키, 및 macOS 키체인 자료를 포함합니다. 맬웨어는 /tmp/ijewf/ 하에 도난 데이터를 배치한 후 /p2p와 유사한 서버 경로로 추출합니다. 또한 Ledger Live와 Trezor Suite와 같은 합법적 하드웨어 지갑 동반 앱을 트로이 목마화된 유사체로 교체하려 시도하여 고가치 비밀 및 거래를 포착합니다.

완화

개발자 툴링에 대한 제어를 강화하여 확장 허용 목록 및 보안 검토를 VS Code 확장에 대해 요구하십시오. 특히 오픈 마켓 출처의 것들에 대해 유의하십시오. 지연된 실행 패턴 및 LaunchAgents의 의심스러운 생성 또는 수정을 감지하는 런타임 감지를 배포합니다. Solana 기반 C2 조회와 관련된 의심스러운 아웃바운드 활동을 모니터링하고 차단하며 확인된 재사용된 IP에 대한 비정상적 연결에 대한 네트워크 감지를 추가하십시오. 개발자 및 클라우드 계정에는 다요소 인증(MFA)을 요구하며 하드웨어 지갑의 무결성 검사를 구현하십시오(발행자 확인, 공증/서명 검증, 통제된 소프트웨어 업데이트 경로).

대응

새로운 또는 수정된 LaunchAgents, 키체인 저장소에 대한 비정상적인 액세스, Solana 참조 C2 엔드포인트에서의 검색 시도를 경고로 트리거합니다. 악성 VS Code 확장을 격리하고 제거한 다음 관련된 LaunchAgent 지속성을 제거하십시오. 서 /tmp/ijewf/에서을 대상으로 한 포렌식을 수행하여 자격 증명 스테이징 범위를 확인하고 어떤 데이터가 수집되었는지 확인하십시오. 하드웨어 지갑 애플리케이션(Ledger Live, Trezor Suite)의 무결성을 검증하고 변조가 의심될 경우 신뢰할 수 있는 소스에서 다시 설치하십시오. 영향을 받은 자격 증명을 재설정하고 SSH 키 및 개발자 토큰을 교체하고 세션을 무효화하며 동일한 확장 ID, 파일 경로 및 지속성 아티팩트에 대해 엔드포인트 전반에 걸쳐 검색을 확장하십시오.

공격 흐름

시뮬레이션 실행

프리리퀴짓: 원격 측정 및 기준선 사전 비행 검사가 통과해야 합니다.

합리적 설명: 이 섹션은 탐지 규칙을 발동하도록 설계된 적수 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영해야 하며 탐지 논리에 의해 예상되는 정확한 원격 측정을 생성하는 것을 목표로 합니다. 추상적이거나 관련 없는 예는 오진을 초래할 수 있습니다.

  • 공격 내러티브 및 명령:
    이미 낮은 권한의 macOS 사용자 계정을 탈취한 공격자는 키 체인에 저장된 서비스 계정 비밀번호를 수집하려고 합니다. 별도의 바이너리를 드롭하지 않기 위해 공격자는 AppleScript를 통해 내장된 보안 도구를 호출하는 한 줄의 스크립트를 작성합니다 셸 스크립트를 실행하십시오. 스크립트는 사용자의 세션에서 직접 실행되어 Sigma 규칙이 일치하는 정확한 명령줄을 가진 프로세스 생성 이벤트를 발생시킵니다.

    # 테스트 키체인 항목 생성 (시연용; 실제 공격자는 기존 항목을 대상으로 함)
    security add-generic-password -a attacker -s pass_users_for_script -w SuperSecret123
    
    # 암호를 읽는 AppleScript 실행
    osascript -e 'do shell script "security find-generic-password -s '''pass_users_for_script''' -w"'
  • 회귀 테스트 스크립트:

    #!/usr/bin/env bash
    set -euo pipefail
    
    # 1단계: 대상 키체인 항목이 존재하는지 확인 (멱등성)
    if ! security find-generic-password -s pass_users_for_script -w >/dev/null 2>&1; then
        security add-generic-password -a attacker -s pass_users_for_script -w SuperSecret123
    fi
    
    # 2단계: 탐지 규칙을 발동시키는 AppleScript 실행
    echo "[+] 키체인 항목을 읽기 위한 AppleScript 실행 중..."
    osascript -e 'do shell script "security find-generic-password -s '''pass_users_for_script''' -w"'
  • 정리 명령:

    # 테스트 키체인 항목을 제거하여 시스템을 깨끗하게 유지
    security delete-generic-password -s pass_users_for_script
    echo "[+] 정리 완료: 테스트 키체인 항목 제거됨."