Nieuwe variant van GlassWorm-malware richt zich op macOS-ontwikkelaars
Een nieuwe reeks aanvallen met de GlassWorm-malware richt zich specifiek op macOS-ontwikkelaars. De malware zoekt onder meer naar apps gerelateerd aan hardwarematige cryptowallets, en vervangt deze apps met een malafide variant.
De GlassWorm-malware wordt al langer verspreid. GlassWorm verscheen in oktober voor het eerst in de Microsoft Visual Studio Marketplace. Eenmaal geïnstalleerd zoekt de malware naar inloggegevens voor GitHub-, npm- en OpenVSX-accounts, evenals data gerelateerd aan cryptowallets. Ook kan de malafide software internetverkeer met behulp van een SOCKS-proxy via het systeem van het slachtoffer omleiden.
GlassWorm dook begin november opnieuw op op de OpenVSX Marketplace en verscheen vervolgens begin december op de VSCode Marketplace. Onderzoekers van Koi Security melden nu een nieuwe GlassWorm-campagne te hebben ontdekt. Deze is specifiek gericht op macOS-systemen, terwijl eerdere versies juist op Windows gericht waren. Waar eerdere varianten daarnaast gebruikmaakten van onzichtbare Unicode of gecompileerde Rust-binaries, maakt de nieuwste versie van GlassWorm gebruik van een AES-256-CBC-versleutelde payload die embedded is in JavaScript.
De malware richt zich op ruim 50 verschillende crypto-gerelateerde browserextensies. Daarnaast zoekt GlassWorm naar inloggegevens voor GitHub en npm. Tot slot probeert de software browserdata en Keychain-wachtwoorden te stelen.
Opvallend is ook een nieuwe functionaliteit die zoekt naar apps voor hardwarematige cryptowallets zoals Ledger Live en Trezor Suite. De malware vervangt deze apps met een malafide variant, met als doel toegang te krijgen tot cryptowallets. Deze functionaliteit werkt nog niet volledig; Koi Security meldt dat de malafide wallets die GlassWorm installeert momenteel lege data terugsturen naar de aanvallers. De onderzoekers vermoeden dat de aanvallers nog bezig zijn met het opzetten van de achterliggende infrastructuur, of dat de functionaliteit nog in ontwikkeling is.
Mis ik hier iets? Zijn de aanvallers dan niet bezig met het waarschuwen van slachtoffers voordat ze schade kunnen aanrichten? En als je je op app ontwikkelaars richt, dan heb je een doelgroep die bovengemiddeld slim is op ICT gebied dus die zien verdachte activiteiten sneller.
Mis ik hier iets? Zijn de aanvallers dan niet bezig met het waarschuwen van slachtoffers voordat ze schade kunnen aanrichten?
Blijkbaar ook in die hoek "release early, release often" .
Het zal wel dezelfde reden hebben als waarom 'reguliere' software soms onrijpe features bevat en toch live gaat.
En als je je op app ontwikkelaars richt, dan heb je een doelgroep die bovengemiddeld slim is op ICT gebied dus die zien verdachte activiteiten sneller.
Mwoah. Er zijn echt _veel_ developers die gewoon totaal geen affiniteit met "systeem beheer" of "security" hebben .
Development is _geen_ superset van "beheer" .
Natuurlijk kan er overlap zijn , maar niet zo veel als je zou hopen.
Aan de beheerkant van een IT organisatie zijn developers soms een ramp - veel pretenties, alles moet open, local admin voor hun gazillion IDE tools en modules - en zelf opletten, ho-maar .
Verder valt op dat de beweerde malware wordt verspreid via de Microsoft Visual Studio Marketplace. Platformen voor software distributie hebben de verantwoordelijkheid verspreiding van kwalijke payloads tegen te gaan. Bij de gerenommeerde FOSS distributies (Debian enz) zijn zulke fouten hoogst uitzonderlijk, maar bij Microsoft zouden ze dat, zelfs voor een non-legacy service, voor elkaar weten te krijgen. Zou me niet verbazen als dat klopt - afwegingen van belangen deugt daar niet -, maar als het van hetzelfde gehalte is als de vermeende diefstal van data uit de macOS Keychain, dan ...
Een malafide app kan een gebruiker proberen te misleiden. Als je b.v. Signal op je PC hebt staan dan komt er vaak uit het niets een pop-up venster met het verzoek om een beheerders wachtwoord in te tikken zodat hij weer een update kan doen. Een kompleet onveilige methode omdat elke malafide app op je mac zo'n window kan tonen en het beheerders-wachtwoord stelen.
Ik heb hier ook al bij Signal over geklaagd. Ik heb liever dat je de update vanuit de Signal app zelf kunt starten, maar dat kan niet. Nu moet je blijven gokken dat het Signal is die de pop-up genereert.
Mis ik hier iets? Zijn de aanvallers dan niet bezig met het waarschuwen van slachtoffers voordat ze schade kunnen aanrichten? En als je je op app ontwikkelaars richt, dan heb je een doelgroep die bovengemiddeld slim is op ICT gebied dus die zien verdachte activiteiten sneller.
Juist niet IT'ers zijn een ramp betreft security, klikken vaker op links en downloaden vaak uit niet officiële bronnen, gebruiken vaak makkelijke gratis tooltjes weten zo genaamd wat wel en niet kan. Regels gelden niet voor hun want IT. En werken vaak om de beveiligingen heen houden zich niet aan de code of conduct. En zo kan ik nog wel even doorgaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?