SOC Prime Bias: Crítico

19 Jan 2026 16:11 UTC

GlassWorm Vai para Mac: Nova Infraestrutura, Novos Truques

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
GlassWorm Vai para Mac: Nova Infraestrutura, Novos Truques
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O ator da ameaça por trás do GlassWorm mudou de atividade focada no Windows para o macOS, distribuindo extensões maliciosas do VS Code que buscam cargas úteis criptografadas JavaScript através de ponteiros C2 derivados da blockchain Solana. Esta onda expande a capacidade ao adicionar uma trojanização de carteira de hardware enquanto continua o roubo amplo de credenciais em navegadores, ferramentas de desenvolvimento e o Keychain do macOS. A infraestrutura inclui um endereço de carteira Solana e um IP reutilizado de operações anteriores do GlassWorm, sugerindo continuidade nas ferramentas e hospedagem do operador. Pesquisadores observaram mais de 50.000 downloads antes que as extensões fossem removidas, indicando uma exposição significativa nos ambientes de desenvolvedores.

Investigação

A Koi Security identificou três extensões maliciosas do VS Code no mercado Open VSX e ligou seu fluxo de comando e controle a uma carteira Solana, além de um endereço IP compartilhado anteriormente ligado ao GlassWorm. Os implantes incorporam um atraso de execução de 15 minutos, depois decifram e executam uma carga útil JavaScript AES-256-CBC. No macOS, a persistência é estabelecida via LaunchAgents. Os alvos de coleta incluem carteiras de navegador e dados de carteiras de desktop, tokens de acesso de desenvolvedor, chaves SSH e material do Keychain do macOS. O malware armazena dados roubados em /tmp/ijewf/ antes da exfiltração para um caminho de servidor semelhante a /p2p. Ele também tenta substituir aplicativos companheiros legítimos de carteiras de hardware — como Ledger Live e Trezor Suite — por versões trojanizadas para capturar segredos e transações de alto valor.

Mitigação

Reforce os controles em torno das ferramentas de desenvolvedor exigindo a listagem permitida de extensões e a revisão de segurança para extensões do VS Code, especialmente aquelas provenientes de mercados abertos. Implemente detecções de tempo de execução para padrões de execução atrasada e criação ou modificação suspeita de LaunchAgents. Monitore e bloqueie atividades de saída suspeitas associadas a pesquisas C2 derivadas de Solana, e adicione detecções de rede para conexões incomuns ao IP reutilizado identificado. Exija MFA para contas de desenvolvedor e de nuvem e implemente verificações de integridade de carteiras de hardware (validação de editora, notificação/verificação de assinatura e canais de atualização de software controlados).

Resposta

Dispare alertas em novos LaunchAgents ou LaunchAgents modificados, acessos anômalos a repositórios Keychain e tentativas de recuperação de endpoints C2 referenciados pela Solana. Quarentena e remova as extensões do VS Code maliciosas, depois erradique qualquer persistência associada ao LaunchAgent. Realize análises forenses direcionadas em /tmp/ijewf/ para determinar a extensão da coleta de credenciais e confirmar quais dados foram coletados. Valide a integridade dos aplicativos de carteiras de hardware (Ledger Live, Trezor Suite) e reinstale de fontes confiáveis se houver suspeita de adulteração. Redefina credenciais impactadas, rotacione chaves SSH e tokens de desenvolvedor, invalide sessões e expanda a caça em endpoints para os mesmos IDs de extensão, caminhos de arquivos e artefatos de persistência.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação de Pré-voo de Telemetria e Linha de Base deve ter sido aprovada.

Racional: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa e Comandos de Ataque:
    Um atacante que já comprometeu uma conta de usuário de baixo privilégio no macOS deseja capturar uma senha de conta de serviço armazenada no Keychain sob o rótulo pass_users_for_script. Para evitar deixar um binário separado, o atacante escreve um AppleScript de uma linha que invoca a ferramenta nativa security via do shell script. O script é executado diretamente na sessão do usuário, produzindo um evento de criação de processo com a linha de comando exata que a regra Sigma corresponde.

    # Crie um item de chaveiro de teste (apenas para demonstração; o verdadeiro atacante visaria um item existente)
    security add-generic-password -a attacker -s pass_users_for_script -w SuperSecret123
    
    # Execute o AppleScript que lê a senha
    osascript -e 'do shell script "security find-generic-password -s '''pass_users_for_script''' -w"'
  • Script de Teste de Regressão:

    #!/usr/bin/env bash
    set -euo pipefail
    
    # Etapa 1: Certifique-se de que a entrada de chaveiro de destino exista (idempotente)
    if ! security find-generic-password -s pass_users_for_script -w >/dev/null 2>&1; then
        security add-generic-password -a attacker -s pass_users_for_script -w SuperSecret123
    fi
    
    # Etapa 2: Execute o AppleScript que aciona a regra de detecção
    echo "[+] Executando AppleScript para ler a entrada do chaveiro..."
    osascript -e 'do shell script "security find-generic-password -s '''pass_users_for_script''' -w"'
  • Comandos de Limpeza:

    # Remova o item do chaveiro de teste para deixar o sistema limpo
    security delete-generic-password -s pass_users_for_script
    echo "[+] Limpeza concluída: entrada de chaveiro de teste removida."