🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma quarta onda da campanha "GlassWorm" tem como alvo os desenvolvedores do macOS com extensões VSCode/OpenVSX maliciosas que fornecem versões trojanizadas de aplicativos de carteira criptografada.
As extensões no registro OpenVSX e no Microsoft Visual Studio Marketplace expandem os recursos de um editor compatível com VS Code adicionando recursos e melhorias de produtividade na forma de ferramentas de desenvolvimento, suporte a idiomas ou temas.
O mercado da Microsoft é a loja de extensão oficial do Visual Studio Code, enquanto o OpenVSX serve como uma alternativa aberta e neutra em termos de fornecedor, usada principalmente por editores que não oferecem suporte ou optam por não confiar no mercado proprietário da Microsoft.
O malware GlassWorm apareceu pela primeira vez nos mercados em outubro, escondido dentro de extensões maliciosas que usavam caracteres Unicode "invisíveis".
Uma vez instalado, o malware tentou roubar credenciais de contas GitHub, npm e OpenVSX, bem como dados de carteiras de criptomoedas de várias extensões. Além disso, ele suporta acesso remoto por meio de VNC e pode rotear o tráfego pela máquina da vítima por meio de um proxy SOCKS.
Apesar da exposição pública e do aumento das defesas, o GlassWorm retornou no início de novembro no OpenVSX e novamente no início de dezembro no VSCode.
GlassWorm de volta ao OpenVSX
Os pesquisadores da Koi Security descobriram uma nova campanha GlassWorm voltada exclusivamente para sistemas macOS, diferente das anteriores que se concentravam apenas no Windows.
Em vez do Unicode invisível visto nas duas primeiras ondas, ou dos binários Rust compilados usados na terceira, os ataques GlassWorm mais recentes usam uma carga criptografada AES-256-CBC incorporada em JavaScript compilado nas extensões OpenVSX:
studio-velte-distributor.pro-svelte-extension
cudra-produção.vsce-prettier-pro
Puccin-development.full-access-catppuccin-pro-extensão
A lógica maliciosa é executada após um atraso de 15 minutos, provavelmente em uma tentativa de escapar da análise em ambientes em área restrita.
Em vez do PowerShell, agora ele usa AppleScript e, em vez da modificação do Registro, usa LaunchAgents para persistência. O mecanismo de comando e controle (C2) baseado em blockchain da Solana permanece inalterado, e os pesquisadores dizem que também há sobreposição de infraestrutura.
Além de atingir mais de 50 extensões de criptografia de navegador, credenciais de desenvolvedor (GitHub, NPM) e dados de navegador, o GlassWorm agora também tenta roubar senhas de Keychain.
Além disso, ele agora apresenta um novo recurso onde verifica aplicativos de carteira de criptomoeda de hardware, como Ledger Live e Trezor Suite no host, e os substitui por uma versão trojanizada.
Código para substituir carteiras de hardware legítimasFonte: Koi Security
No entanto, a Koi Security observa que este mecanismo está falhando porque as carteiras trojanizadas estão retornando arquivos vazios.
“Isso pode significar que o invasor ainda está preparando os trojans de carteira do macOS ou que a infraestrutura está em transição”, explica Koi Security.
"A capacidade está construída e pronta - está apenas aguardando o upload das cargas. Todas as outras funcionalidades maliciosas (roubo de credenciais, acesso a chaves, exfiltração de dados, persistência) permanecem totalmente operacionais."
Quando o BleepingComputer verificou se as extensões maliciosas ainda estavam disponíveis no OpenVSX, a plataforma mostrou um aviso para duas delas, informando que seu editor não foi verificado.
Extensão GlassWorm no OpenVSXFonte: BleepingComputer
Os contadores de download mostram mais de 33.000 instalações, mas esses números são frequentemente manipulados por agentes de ameaças para fazer com que os arquivos pareçam mais confiáveis.
Recomenda-se aos desenvolvedores que instalaram qualquer uma das três extensões que as removam imediatamente, redefinam as senhas de suas contas do GitHub, revoguem seus tokens NPM, verifiquem se há sinais de infecção no sistema ou reinstalem-no.
7 práticas recomendadas de segurança para MCP
À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão agindo rapidamente para manter esses novos serviços seguros.
Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.
Baixe agora
As extensões no registro OpenVSX e no Microsoft Visual Studio Marketplace expandem os recursos de um editor compatível com VS Code adicionando recursos e melhorias de produtividade na forma de ferramentas de desenvolvimento, suporte a idiomas ou temas.
O mercado da Microsoft é a loja de extensão oficial do Visual Studio Code, enquanto o OpenVSX serve como uma alternativa aberta e neutra em termos de fornecedor, usada principalmente por editores que não oferecem suporte ou optam por não confiar no mercado proprietário da Microsoft.
O malware GlassWorm apareceu pela primeira vez nos mercados em outubro, escondido dentro de extensões maliciosas que usavam caracteres Unicode "invisíveis".
Uma vez instalado, o malware tentou roubar credenciais de contas GitHub, npm e OpenVSX, bem como dados de carteiras de criptomoedas de várias extensões. Além disso, ele suporta acesso remoto por meio de VNC e pode rotear o tráfego pela máquina da vítima por meio de um proxy SOCKS.
Apesar da exposição pública e do aumento das defesas, o GlassWorm retornou no início de novembro no OpenVSX e novamente no início de dezembro no VSCode.
GlassWorm de volta ao OpenVSX
Os pesquisadores da Koi Security descobriram uma nova campanha GlassWorm voltada exclusivamente para sistemas macOS, diferente das anteriores que se concentravam apenas no Windows.
Em vez do Unicode invisível visto nas duas primeiras ondas, ou dos binários Rust compilados usados na terceira, os ataques GlassWorm mais recentes usam uma carga criptografada AES-256-CBC incorporada em JavaScript compilado nas extensões OpenVSX:
studio-velte-distributor.pro-svelte-extension
cudra-produção.vsce-prettier-pro
Puccin-development.full-access-catppuccin-pro-extensão
A lógica maliciosa é executada após um atraso de 15 minutos, provavelmente em uma tentativa de escapar da análise em ambientes em área restrita.
Em vez do PowerShell, agora ele usa AppleScript e, em vez da modificação do Registro, usa LaunchAgents para persistência. O mecanismo de comando e controle (C2) baseado em blockchain da Solana permanece inalterado, e os pesquisadores dizem que também há sobreposição de infraestrutura.
Além de atingir mais de 50 extensões de criptografia de navegador, credenciais de desenvolvedor (GitHub, NPM) e dados de navegador, o GlassWorm agora também tenta roubar senhas de Keychain.
Além disso, ele agora apresenta um novo recurso onde verifica aplicativos de carteira de criptomoeda de hardware, como Ledger Live e Trezor Suite no host, e os substitui por uma versão trojanizada.
Código para substituir carteiras de hardware legítimasFonte: Koi Security
No entanto, a Koi Security observa que este mecanismo está falhando porque as carteiras trojanizadas estão retornando arquivos vazios.
“Isso pode significar que o invasor ainda está preparando os trojans de carteira do macOS ou que a infraestrutura está em transição”, explica Koi Security.
"A capacidade está construída e pronta - está apenas aguardando o upload das cargas. Todas as outras funcionalidades maliciosas (roubo de credenciais, acesso a chaves, exfiltração de dados, persistência) permanecem totalmente operacionais."
Quando o BleepingComputer verificou se as extensões maliciosas ainda estavam disponíveis no OpenVSX, a plataforma mostrou um aviso para duas delas, informando que seu editor não foi verificado.
Extensão GlassWorm no OpenVSXFonte: BleepingComputer
Os contadores de download mostram mais de 33.000 instalações, mas esses números são frequentemente manipulados por agentes de ameaças para fazer com que os arquivos pareçam mais confiáveis.
Recomenda-se aos desenvolvedores que instalaram qualquer uma das três extensões que as removam imediatamente, redefinam as senhas de suas contas do GitHub, revoguem seus tokens NPM, verifiquem se há sinais de infecção no sistema ou reinstalem-no.
7 práticas recomendadas de segurança para MCP
À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão agindo rapidamente para manter esses novos serviços seguros.
Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.
Baixe agora
#samirnews #samir #news #boletimtec #nova #onda #de #malware #glassworm #tem #como #alvo #macs #com #carteiras #criptografadas #trojanizadas
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário