GlassWorm sur macOS : infostealer avec C2 décentralisé, RAT persistant et IoCs détaillés
Source: tip-o-deincognito (write-up technique). Contexte: analyse statique et surveillance live (57 h) d’une variante GlassWorm macOS distribuée via des extensions Open VSX compromises, avec mise en évidence d’un C2 résilient (BitTorrent DHT + Solana), d’un stealer multi-cibles et d’un RAT persistant. • Infection supply chain via extensions VS Code (compte “oorzc” — ssh-tools, i18n-tools-plus, mind-map, scss-to-css-compile, 22k+ téléchargements). Le package npm injecte un preinstall.js contenant une stéganographie Unicode (sélecteurs de variation) pour dissimuler le blob AES-256-CBC menant au loader Stage 1. Exclusion CIS via détection de locale russe + fuseau/offset. Un kill switch base64 de 20 caractères est géré côté Stage 1 (eval), mais échoue côté RAT persistant. ...