GlassWorm Vai para Mac: Nova Infraestrutura, Novos Truques
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O ator da ameaça por trás do GlassWorm mudou de atividade focada no Windows para o macOS, distribuindo extensões maliciosas do VS Code que buscam cargas úteis criptografadas JavaScript através de ponteiros C2 derivados da blockchain Solana. Esta onda expande a capacidade ao adicionar uma trojanização de carteira de hardware enquanto continua o roubo amplo de credenciais em navegadores, ferramentas de desenvolvimento e o Keychain do macOS. A infraestrutura inclui um endereço de carteira Solana e um IP reutilizado de operações anteriores do GlassWorm, sugerindo continuidade nas ferramentas e hospedagem do operador. Pesquisadores observaram mais de 50.000 downloads antes que as extensões fossem removidas, indicando uma exposição significativa nos ambientes de desenvolvedores.
Investigação
A Koi Security identificou três extensões maliciosas do VS Code no mercado Open VSX e ligou seu fluxo de comando e controle a uma carteira Solana, além de um endereço IP compartilhado anteriormente ligado ao GlassWorm. Os implantes incorporam um atraso de execução de 15 minutos, depois decifram e executam uma carga útil JavaScript AES-256-CBC. No macOS, a persistência é estabelecida via LaunchAgents. Os alvos de coleta incluem carteiras de navegador e dados de carteiras de desktop, tokens de acesso de desenvolvedor, chaves SSH e material do Keychain do macOS. O malware armazena dados roubados em /tmp/ijewf/ antes da exfiltração para um caminho de servidor semelhante a /p2p. Ele também tenta substituir aplicativos companheiros legítimos de carteiras de hardware — como Ledger Live e Trezor Suite — por versões trojanizadas para capturar segredos e transações de alto valor.
Mitigação
Reforce os controles em torno das ferramentas de desenvolvedor exigindo a listagem permitida de extensões e a revisão de segurança para extensões do VS Code, especialmente aquelas provenientes de mercados abertos. Implemente detecções de tempo de execução para padrões de execução atrasada e criação ou modificação suspeita de LaunchAgents. Monitore e bloqueie atividades de saída suspeitas associadas a pesquisas C2 derivadas de Solana, e adicione detecções de rede para conexões incomuns ao IP reutilizado identificado. Exija MFA para contas de desenvolvedor e de nuvem e implemente verificações de integridade de carteiras de hardware (validação de editora, notificação/verificação de assinatura e canais de atualização de software controlados).
Resposta
Dispare alertas em novos LaunchAgents ou LaunchAgents modificados, acessos anômalos a repositórios Keychain e tentativas de recuperação de endpoints C2 referenciados pela Solana. Quarentena e remova as extensões do VS Code maliciosas, depois erradique qualquer persistência associada ao LaunchAgent. Realize análises forenses direcionadas em /tmp/ijewf/ para determinar a extensão da coleta de credenciais e confirmar quais dados foram coletados. Valide a integridade dos aplicativos de carteiras de hardware (Ledger Live, Trezor Suite) e reinstale de fontes confiáveis se houver suspeita de adulteração. Redefina credenciais impactadas, rotacione chaves SSH e tokens de desenvolvedor, invalide sessões e expanda a caça em endpoints para os mesmos IDs de extensão, caminhos de arquivos e artefatos de persistência.
Fluxo de Ataque
Detecções
Tentativa Possível de Descoberta de Senha de Navegador no MacOS (via linha de comando)
Visualizar
IOCs (SourceIP) para detectar: GlassWorm vai para Mac: Nova Infraestrutura, Novos Truques
Visualizar
IOCs (DestinationIP) para detectar: GlassWorm vai para Mac: Nova Infraestrutura, Novos Truques
Visualizar
IOCs (Emails) para detectar: GlassWorm vai para Mac: Nova Infraestrutura, Novos Truques
Visualizar
Detecção de Acesso ao Keychain do macOS pelo GlassWorm [Criação de Processo Linux]
Visualizar
Execução Potencial de AppleScript para Acesso ao Keychain no macOS [Criação de Processo Linux]
Visualizar
Detecção de Comunicação C2 de Blockchain Solana pelo GlassWorm [Proxy]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter sido aprovada.
Racional: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa e Comandos de Ataque:
Um atacante que já comprometeu uma conta de usuário de baixo privilégio no macOS deseja capturar uma senha de conta de serviço armazenada no Keychain sob o rótulopass_users_for_script. Para evitar deixar um binário separado, o atacante escreve um AppleScript de uma linha que invoca a ferramenta nativasecurityviado shell script. O script é executado diretamente na sessão do usuário, produzindo um evento de criação de processo com a linha de comando exata que a regra Sigma corresponde.# Crie um item de chaveiro de teste (apenas para demonstração; o verdadeiro atacante visaria um item existente) security add-generic-password -a attacker -s pass_users_for_script -w SuperSecret123 # Execute o AppleScript que lê a senha osascript -e 'do shell script "security find-generic-password -s '''pass_users_for_script''' -w"' -
Script de Teste de Regressão:
#!/usr/bin/env bash set -euo pipefail # Etapa 1: Certifique-se de que a entrada de chaveiro de destino exista (idempotente) if ! security find-generic-password -s pass_users_for_script -w >/dev/null 2>&1; then security add-generic-password -a attacker -s pass_users_for_script -w SuperSecret123 fi # Etapa 2: Execute o AppleScript que aciona a regra de detecção echo "[+] Executando AppleScript para ler a entrada do chaveiro..." osascript -e 'do shell script "security find-generic-password -s '''pass_users_for_script''' -w"' -
Comandos de Limpeza:
# Remova o item do chaveiro de teste para deixar o sistema limpo security delete-generic-password -s pass_users_for_script echo "[+] Limpeza concluída: entrada de chaveiro de teste removida."