【安全资讯】GlassWorm恶意软件新变种针对Mac用户，通过木马化加密货币钱包窃取资产

概要：

网络安全领域再次拉响警报，针对开发者的高级持续性威胁（APT）活动GlassWorm卷土重来，并首次将攻击目标扩展至macOS系统。攻击者通过在OpenVSX等代码编辑器扩展市场中植入恶意扩展程序，诱骗开发者下载，进而窃取加密货币钱包数据、开发者凭证及系统密码，对数字货币和科技行业构成严重威胁。

主要内容：

Koi Security的研究人员发现，GlassWorm恶意软件发起了第四波攻击，此次攻击专门针对macOS开发者。攻击载体是发布在OpenVSX开源扩展商店中的三个恶意VSCode扩展程序。与之前攻击中使用的“隐形”Unicode字符或Rust二进制文件不同，新变种的恶意负载采用AES-256-CBC加密，并嵌入在扩展的编译后JavaScript代码中，以规避检测。

恶意代码在安装后延迟15分钟执行，旨在逃避沙箱环境分析。其持久化机制从修改Windows注册表转变为利用macOS的LaunchAgents，执行脚本也从PowerShell切换为AppleScript。攻击的核心目的是窃取超过50种浏览器加密货币扩展的密钥、GitHub和NPM的开发者凭证、浏览器数据以及macOS钥匙串中的密码。

此次攻击的一个新特点是尝试替换主机上的硬件钱包桌面应用程序（如Ledger Live和Trezor Suite）。恶意扩展会检测这些合法应用的存在，并用木马化版本进行替换，意图在用户不知情的情况下窃取加密货币资产。不过，目前该替换机制因木马程序返回空文件而暂时失效，研究人员推测攻击者的基础设施可能仍在准备中。

尽管钱包替换功能暂未生效，但恶意软件的其他窃密和数据外泄功能完全正常。相关恶意扩展的下载计数显示超过33,000次安装，虽然此数字可能被操纵以增加可信度，但仍表明潜在感染范围广泛。安全专家强烈建议已安装相关扩展的开发者立即移除，并重置相关账户凭证。