GlassWorm sur macOS : infostealer avec C2 décentralisé, RAT persistant et IoCs détaillés
Source: tip-o-deincognito (write-up technique). Contexte: analyse statique et surveillance live (57 h) dâune variante GlassWorm macOS distribuĂ©e via des extensions Open VSX compromises, avec mise en Ă©vidence dâun C2 rĂ©silient (BitTorrent DHT + Solana), dâun stealer multi-cibles et dâun RAT persistant. âą Infection supply chain via extensions VS Code (compte âoorzcâ â ssh-tools, i18n-tools-plus, mind-map, scss-to-css-compile, 22k+ tĂ©lĂ©chargements). Le package npm injecte un preinstall.js contenant une stĂ©ganographie Unicode (sĂ©lecteurs de variation) pour dissimuler le blob AES-256-CBC menant au loader Stage 1. Exclusion CIS via dĂ©tection de locale russe + fuseau/offset. Un kill switch base64 de 20 caractĂšres est gĂ©rĂ© cĂŽtĂ© Stage 1 (eval), mais Ă©choue cĂŽtĂ© RAT persistant. ...