GlassWorm: эволюция кроссплатформенной угрозы для macOS и кошельков

GlassWorm, первоначально идентифицированный как первый самораспространяющийся червь, нацеленный на расширения кода Visual Studio, претерпел значительную эволюцию. Что начиналось как атаки с использованием невидимых символов Unicode для сокрытия вредоносного кода, превратилось в многофронтовую кампанию с изменяющимися векторами доставки, адаптированной инфраструктурой C2 и новыми целями — от традиционных Windows‑систем до устройств на macOS и hardware wallets.

Краткая хронология эволюции

Атакующие развивали инструмент последовательно, переходя через несколько операционных волн (Wave). Ключевые вехи выглядят так:

  • Ранние волны — использование невидимых символов Unicode для сокрытия вредоносных фрагментов в коде расширений Visual Studio.
  • Wave 3 — внедрение скомпилированных двоичных файлов на языке Rust, что усложнило анализ и повысило устойчивость полезной нагрузки.
  • Wave 4 — принципиальный сдвиг: злоумышленник перестаёт ограничиваться Windows и начинает активно таргетировать macOS. Параллельно меняется метод доставки — в качестве одного из механизмов используется зашифрованный JavaScript.

Методы доставки и усложнение обратного проектирования

Переход от текстовых трюков с Unicode к нативным двоичным файлам на Rust уже был серьёзным усложнением для исследователей. В Wave 4 злоумышленники добавляют зашифрованный JavaScript как новый канал доставки, что значительно повышает барьер при статическом и динамическом анализе — исследователям приходится сначала расшифровывать загрузчики, а затем уже анализировать получаемые модули.

Инфраструктура командования и контроля (C2) и блокчейн‑следы

Инфраструктура C2 также адаптировалась, при этом её можно частично отслеживать через связанные с операцией блокчейн‑транзакции. Пример из отчета иллюстрирует непрерывность деятельности злоумышленника: транзакция 27 ноября привела к получению IP‑адреса 217.69.11.60, который позже к декабрю сменился на 45.32.151.157. Это указывает на постоянную ротацию инфраструктуры при сохранении общей координации атак.

Новая функциональность: трояны для hardware wallets

Одним из самых тревожных изменений в Wave 4 стало появление модулей, нацеленных на hardware wallets. Эта функциональность расширяет возможности GlassWorm: помимо кражи учетных данных и установки бэкдоров (как в предыдущих версиях), вредонос может пытаться заменить легитимные приложения кошельков на скомпрометированные аналоги, тем самым получить доступ к средствам пользователей.

«Эволюция GlassWorm демонстрирует его превращение в кроссплатформенную угрозу, указывая на более широкий спектр нацеленных векторов атак и необходимость повышенной бдительности среди пользователей, особенно тех, кто работает на системах macOS.»

Даже при невозможности активировать трояны для hardware wallets, оставшаяся полезная нагрузка способна нанести существенный ущерб: установка бэкдоров, эксфильтрация данных, перекрытие обновлений и подмена компонентов.

Что это значит для пользователей и компаний

Ключевые выводы и практические рекомендации для повышения безопасности:

  • Понимать, что угрозы становятся кроссплатформенными: защищать нужно не только Windows‑окружения, но и macOS‑машины.
  • Усилить контроль над источниками расширений и плагинов (особенно для Visual Studio) — использовать подписанные и проверенные репозитории.
  • Внедрить процессы проверки целостности и подписи для приложений hardware wallets; ограничить установку сторонних бинарников и отслеживать подмены.
  • Мониторить сетевую активность и аномалии в соединениях с внешними IP‑адресами; хранить и анализировать телеметрию для выявления ротаций C2 (включая подозрительные блокчейн‑транзакции).
  • Регулярно обновлять системы защиты и обучать сотрудников методам выявления фишинга и инсталляции неизвестных расширений.

Заключение

GlassWorm вышел за рамки локальной угрозы для расширений Visual Studio и превратился в адаптирующуюся, мультивекторную платформу атак. Переход к таргетированию macOS, использование Rust‑бинарников и зашифрованного JavaScript, а также добавление модулей для hardware wallets делает кампанию особенно опасной для разработчиков, криптовладельцев и организаций с распределённой инфраструктурой. Это требует пересмотра подходов к верификации ПО, усиления мониторинга и повышения общей кибергигиены.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: