Une quatrième vague de la campagne « Ver de verre » cible les développeurs macOS avec des extensions malveillantes VSCode/OpenVSX qui fournissent des versions cheval de Troie d’applications de portefeuille cryptographique.
Les extensions du registre OpenVSX et de la place de marché Microsoft Visual Studio étendent les capacités d’un éditeur compatible VS Code en ajoutant des fonctionnalités et des améliorations de productivité sous la forme d’outils de développement, de prise en charge linguistique ou de thèmes.
La place de marché Microsoft est le magasin d’extensions officiel de Visual Studio Code, tandis qu’OpenVSX constitue une alternative ouverte et indépendante du fournisseur, principalement utilisée par les éditeurs qui ne prennent pas en charge ou choisissent de ne pas s’appuyer sur la place de marché propriétaire de Microsoft.
Le malware Ver de verre est apparu pour la première fois sur les marchés en octobre, caché dans des extensions malveillantes utilisant des caractères Unicode « invisibles ».
Une fois installé, le logiciel malveillant a tenté de voler des informations d’identification pour les comptes GitHub, npm et OpenVSX, ainsi que des données de portefeuille de crypto-monnaie provenant de plusieurs extensions. De plus, il prend en charge l’accès à distance via VNC et peut acheminer le trafic via la machine de la victime via un proxy SOCKS.
Malgré l’exposition du public et des défenses accrues, Ver de verre est revenu début novembre sur OpenVSX puis à nouveau début décembre sur VSCode.
Ver de verre de retour sur OpenVSX
Les chercheurs en sécurité de Koi ont découvert une nouvelle campagne de ver de verre qui cible exclusivement les systèmes macOS, contrairement aux précédentes qui se concentraient uniquement sur Windows.
Au lieu de l’Unicode invisible vu dans les deux premières vagues, ou des binaires Rust compilés utilisés dans la troisième, les attaques de vers de verre les plus récentes utilisent une charge utile cryptée AES-256-CBC intégrée dans du JavaScript compilé dans les extensions OpenVSX:
- studio-velte-distributor. pro-extension légère
- cudra-production.vsce-plus joli-pro
- Puccin-développement.accès complet-catppuccin-pro-extension
La logique malveillante s’exécute après un délai de 15 minutes, probablement pour tenter d’échapper à l’analyse dans des environnements en bac à sable.
Au lieu de PowerShell, il utilise désormais AppleScript et, au lieu de modifier le registre, il utilise LaunchAgents pour la persistance. Le mécanisme de commande et de contrôle (C2) basé sur la blockchain de Solana reste inchangé, cependant, et les chercheurs disent qu’il existe également un chevauchement des infrastructures.
En plus de cibler plus de 50 extensions cryptographiques de navigateur, informations d’identification de développeur (GitHub, NPM) et données de navigateur, GlassWorm tente désormais également de voler les mots de passe des trousseaux.
De plus, il dispose désormais d’une nouvelle fonctionnalité permettant de rechercher des applications de portefeuille de crypto-monnaie matérielles telles que Ledger Live et Trezor Suite sur l’hôte, et de les remplacer par une version cheval de Troie.
Cependant, Koi Security note que ce mécanisme échoue actuellement car les portefeuilles cheval de Troie renvoient des fichiers vides.
« Cela pourrait signifier que l’attaquant prépare toujours les chevaux de Troie du portefeuille macOS, ou que l’infrastructure est en transition », explique Koi Security.
« La capacité est construite et prête – elle n’attend que le téléchargement des charges utiles. Toutes les autres fonctionnalités malveillantes (vol d’informations d’identification, accès au trousseau, exfiltration de données, persistance) restent pleinement opérationnelles. »
Lorsque Breachtrace a vérifié si les extensions malveillantes étaient toujours disponibles sur OpenVSX, la plateforme a affiché un avertissement pour deux d’entre elles, informant que leur éditeur n’était pas vérifié.
Les compteurs de téléchargement affichent plus de 33 000 installations, mais ces chiffres sont fréquemment manipulés par les acteurs de la menace pour rendre les fichiers plus fiables.
Il est recommandé aux développeurs qui ont installé l’une des trois extensions de les supprimer immédiatement, de réinitialiser les mots de passe de leur compte GitHub, de révoquer leurs jetons NPM, de rechercher des signes d’infection sur leur système ou de le réinstaller.