Povratak malvera GlassWorm: novi talas napada sada cilja Mac računare

Opisi virusa, 09.01.2026, 10:30 AM

Istraživači iz kompanije Koi Security upozorili su na novi talas napada malvera GlassWorm, koji je po prvi put usmeren isključivo na macOS programere. Napad se sprovodi kroz lažne Visual Studio Code ekstenzije, koje su dizajnirane za krađu kriptovaluta, pristupnih podataka (kredencijala) i osetljivih sistemskih informacija.

Ovo je četvrti talas GlassWorm kampanje za nešto više od dva meseca, ali i prvi koji je fokusiran isključivo na Apple računare.

GlassWorm se distribuira putem Open VSX-a, open-source alternative zvaničnoj Microsoftovoj prodavnici ekstenzija za Visual Studio Code. Zlonamerne ekstenzije se predstavljaju kao legitimni alati za programere.

Koi Security je identifikovao tri sumnjive ekstenzije na Open VSX-u koje su zajedno imale više od 50.000 preuzimanja, uz napomenu da se broj preuzimanja može veštački povećavati kako bi se stvorio lažni osećaj poverenja.

GlassWorm je prvi put primećen u oktobru, kada je zlonamerni kod bio sakriven pomoću „nevidljivih“ Unicode karaktera. U kasnijim fazama, napadači su prešli na kompajlirane Rust binarne datoteke i proširili domet kampanje. Iako je kampanja već više puta javno razotkrivena, napadači su se svaki put brzo prilagođavali i vraćali sa unapređenim tehnikama.

„GlassWorm nije samo uporan - on evoluira. A sada je na meti vaš Mac“, upozorili su istraživači.

Zašto su Mac računari sada meta?

Ranije verzije GlassWorm-a bile su fokusirane na Windows korisnike i koristile drugačije mehanizme za prikrivanje. Prema istraživačima, prelazak na macOS nije slučajan.

Programeri, naročito oni koji rade u kripto, Web3 i startap okruženjima, u velikoj meri koriste Mac računare, što ih čini izuzetno vrednim metama. Napadači na taj način mogu doći do kripto-novčanika, izvornog koda i programerskih kredencijala.

Nova varijanta GlassWorm-a je napravljena posebno za macOS. Umesto PowerShell-a koristi AppleScript, za postojanost se oslanja na LaunchAgents umesto Registry ključeva i Scheduled Tasks, i direktno cilja macOS Keychain kako bi izvukla sačuvane lozinke.

„Napadač odlično poznaje macOS. Ovo je profesionalno urađeno“, navodi Koi Security.

Zlonamerni payload je šifrovan AES-256-CBC algoritmom i ugrađen unutar kompajliranog JavaScript koda same ekstenzije. Nakon instalacije, malver čeka 15 minuta pre aktivacije, što mu omogućava da izbegne automatske bezbednosne sandbox analize koje često traju svega nekoliko minuta.

Za komunikaciju sa komandno-kontrolnim serverima, GlassWorm i dalje koristi Solana blokčejn. Instrukcije se preuzimaju iz memo polja blokčejn transakcija, čime se izbegava oslanjanje na klasične servere koje je lakše blokirati ili ugasiti.

Istraživači su otkrili i kod koji omogućava zamenu legitimnih aplikacija za hardverske novčanike, poput Ledger Live i Trezor Suite, njihovim zaraženim verzijama. Iako ova funkcionalnost još uvek nije u potpunosti aktivna, može biti uključena u bilo kom trenutku.

I bez toga, GlassWorm već predstavlja ozbiljnu pretnju - cilja više od 50 kripto-novčanika, krade GitHub i npm kredencijale, kopira SSH ključeve, preuzima kolačiće pregledača i izvlači podatke iz macOS Keychain-a.

Stručnjaci upozoravaju da GlassWorm prerasta u dugoročnu, multiplatformsku pretnju. Onima koji sumnjaju da su instalirali zlonamerne ekstenzije preporučuje se da ih odmah uklone, resetuju sve kompromitovane lozinke, opozovu tokene za pristup i razmotre potpunu reinstalaciju sistema.

Ovaj slučaj još jednom pokazuje koliko su softverski lanci snabdevanja postali privlačna meta i da čak i alati preuzeti sa poznatih tržišta ne treba da se uzimaju zdravo za gotovo.