GlassWorm : 4e vague visant des développeurs macOS via des extensions VSCode/OpenVSX piégées

Selon BleepingComputer, une quatrième vague de la campagne GlassWorm cible des développeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisées d’applications de portefeuilles crypto.

L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour déposer des applications de portefeuilles crypto trojanisées sur les machines des victimes. Les développeurs macOS sont explicitement visés 🎯.

Contexte général

Une quatrième vague de la campagne malveillante GlassWorm cible désormais exclusivement les développeurs macOS, marquant une évolution notable par rapport aux précédentes attaques orientées Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisées de portefeuilles de cryptomonnaies.

Évolution de la campagne GlassWorm

Première apparition : octobre 2025, via des extensions utilisant des caractères Unicode invisibles.
Vagues suivantes :
- novembre : retour sur OpenVSX,
- décembre : nouvelle vague sur le marketplace VS Code,
- janvier 2026 : ciblage spécifique de macOS.
Les précédentes variantes utilisaient :
- Unicode invisible,
- binaires Rust,
- PowerShell et modifications du registre Windows.

Extensions malveillantes identifiées

Les extensions suivantes, publiées sur OpenVSX, contiennent la charge malveillante :

studio-velte-distributor.pro-svelte-extension
cudra-production.vsce-prettier-pro
Puccin-development.full-access-catppuccin-pro-extension

Ces extensions affichent plus de 33 000 téléchargements, un chiffre probablement artificiellement gonflé pour renforcer leur crédibilité.

Détails techniques de l’attaque (macOS)

Charge utile :
- JavaScript compilé contenant un payload chiffré en AES-256-CBC.
- Exécution différée de 15 minutes (évasion des sandbox).
Persistance :
- Utilisation de LaunchAgents (au lieu du registre Windows).
Exécution :
- Remplacement de PowerShell par AppleScript.
C2 :
- Toujours basé sur la blockchain Solana, avec un chevauchement d’infrastructure connu.

Capacités malveillantes

GlassWorm conserve et étend ses fonctionnalités :

Vol d’identifiants :
- GitHub,
- npm,
- OpenVSX.
Vol de données :
- extensions crypto de navigateur (50+),
- mots de passe Keychain macOS,
- données de navigation.
Accès distant :
- VNC,
- proxy SOCKS.
Nouvelle capacité critique :
- Détection des applications de portefeuilles matériels (Ledger Live, Trezor Suite),
- Tentative de remplacement par des versions trojanisées.

⚠️ À ce stade, cette fonctionnalité échoue car les binaires trojanisés retournent des fichiers vides, ce qui suggère :

une infrastructure encore en préparation,
ou un déploiement progressif des charges finales.

État actuel et détection

OpenVSX affiche désormais des avertissements pour certaines extensions, indiquant des éditeurs non vérifiés.
Toutes les autres fonctions malveillantes (exfiltration, persistance, vol d’identifiants) restent pleinement opérationnelles.

Recommandations de sécurité

Les développeurs ayant installé ces extensions doivent :

Supprimer immédiatement les extensions concernées.
Changer les mots de passe GitHub.
Révoquer les tokens npm.
Vérifier leur système pour des signes de compromission.
En cas de doute, réinstaller complètement macOS.

Conclusion

Cette nouvelle vague confirme que GlassWorm est une menace persistante et adaptable, capable de modifier rapidement ses TTPs et d’élargir ses cibles. Le passage à macOS et l’intégration de portefeuilles crypto trojanisés montrent une montée en sophistication et un intérêt accru pour les actifs numériques des développeurs.

Il s’agit d’une analyse de menace publiée pour signaler une campagne active et décrire les techniques utilisées.

🧠 TTPs et IOCs détectés

🔴 TTPs (MITRE ATT&CK – extraits)

🎯 Accès initial

T1195.002 – Compromise Software Supply Chain
Distribution via extensions VS Code/OpenVSX malveillantes publiées sur des marketplaces légitimes.
T1204.002 – User Execution: Malicious File
L’utilisateur installe volontairement une extension piégée pensant ajouter une fonctionnalité légitime.

🛠️ Exécution

T1059.002 – Command and Scripting Interpreter: AppleScript
Utilisation d’AppleScript pour exécuter la charge malveillante sur macOS.
T1027 – Obfuscated/Encrypted Payloads
Payload chiffré en AES-256-CBC intégré dans du JavaScript compilé.
T1497.003 – Time-Based Evasion
Délai d’exécution de 15 minutes pour contourner les sandbox et analyses dynamiques.

🔒 Persistance

T1547.001 – Boot or Logon Autostart Execution: Launch Agents
Création de LaunchAgents macOS pour persister après redémarrage.

🕵️ Accès aux informations d’identification

T1555.001 – Credentials from Password Stores: Keychain
Vol de mots de passe stockés dans le Keychain macOS.
T1552 – Unsecured Credentials
Vol de seed phrases et données de portefeuilles crypto logiciels.

📂 Collecte de données

T1005 – Data from Local System
Collecte de données locales (navigateurs, extensions, fichiers).
T1552.006 – Credentials from Web Browsers
Vol de données de navigateurs et extensions crypto.

🔁 Mouvement / Accès distant

T1021.005 – Remote Services: VNC
Accès distant via VNC.
T1090 – Proxy
Utilisation de la machine victime comme proxy SOCKS.

🌐 Command & Control

T1071.001 – Application Layer Protocol: Web Protocols
T1102 – Web Services
C2 reposant sur la blockchain Solana pour la communication et le pilotage.

💰 Impact

T1555 – Credential Theft
T1649 – Steal or Manipulate Cryptographic Keys
Tentative de remplacement d’applications de portefeuilles matériels (Ledger, Trezor) par des versions trojanisées.

🔎 IOCs observables

📦 Extensions malveillantes (OpenVSX / VS Code)

studio-velte-distributor.pro-svelte-extension
cudra-production.vsce-prettier-pro
Puccin-development.full-access-catppuccin-pro-extension

🧬 Indicateurs comportementaux

Exécution différée (~15 minutes) après installation d’extension
Appels AppleScript inattendus depuis VS Code
Création suspecte de LaunchAgents
Accès non légitime au Keychain
Activité réseau anormale liée à Solana
Tentatives de remplacement :
- Ledger Live
- Trezor Suite

🧠 Cibles privilégiées

Développeurs macOS
Utilisateurs de :
- VS Code / éditeurs compatibles OpenVSX
- Extensions crypto navigateur
- GitHub / npm

⚠️ À retenir

GlassWorm combine supply chain, vol d’identifiants, crypto-theft, et persistance macOS native, ce qui en fait une menace hautement furtive et durable, particulièrement dangereuse pour les environnements de développement.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-glassworm-malware-wave-targets-macs-with-trojanized-crypto-wallets/

L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour déposer des applications de portefeuilles crypto trojanisées sur les machines des victimes. Les développeurs macOS sont explicitement visés 🎯.#

Contexte général#

Évolution de la campagne GlassWorm#

Extensions malveillantes identifiées#

Détails techniques de l’attaque (macOS)#

Capacités malveillantes#

État actuel et détection#

Recommandations de sécurité#

Conclusion#

🧠 TTPs et IOCs détectés#

🔴 TTPs (MITRE ATT&CK – extraits)#

🎯 Accès initial#

🛠️ Exécution#

🔒 Persistance#

🕵️ Accès aux informations d’identification#

📂 Collecte de données#

🔁 Mouvement / Accès distant#

🌐 Command & Control#

💰 Impact#

🔎 IOCs observables#

📦 Extensions malveillantes (OpenVSX / VS Code)#

🧬 Indicateurs comportementaux#

🧠 Cibles privilégiées#

⚠️ À retenir#