Yeni GlassWorm Zararlı Yazılım Dalgası macOS Sistemleri Trojenli Kripto Cüzdanlarla Hedef Alıyor
GlassWorm adlı zararlı yazılımın dördüncü dalgası, macOS kullanan geliştiricileri hedef alıyor. OpenVSX ve Visual Studio Marketplace üzerinden yayılan kötü amaçlı VS Code eklentileri, kripto cüzdan uygulamalarının trojenli sürümlerini dağıtarak kimlik bilgileri, geliştirici hesapları ve dijital varlıkları ele geçirmeyi amaçlıyor.
Siber güvenlik araştırmacıları, GlassWorm zararlı yazılım kampanyasının dördüncü dalgasının macOS sistemleri hedef aldığını ortaya koydu. Koi Security tarafından tespit edilen yeni saldırı dalgasında, OpenVSX kayıt defterinde yayımlanan kötü amaçlı VS Code eklentileri üzerinden trojenli kripto cüzdan uygulamaları dağıtılıyor.
GlassWorm ilk kez ekim ayında ortaya çıktı. Zararlı yazılım, görünmez Unicode karakterler kullanılarak gizlenen eklentiler aracılığıyla GitHub, npm ve OpenVSX hesap bilgilerini, ayrıca tarayıcı tabanlı kripto cüzdan verilerini ele geçirmeyi hedefledi. Önceki dalgalarda Windows sistemler odak alınırken, son kampanyada yalnızca macOS kullanıcılarının hedef seçildiği bildirildi.
Yeni Saldırı Yöntemi ve Teknik Detaylar
Araştırmacılara göre son dalgada, önceki sürümlerde kullanılan Unicode gizleme veya Rust tabanlı ikililer yerine, AES-256-CBC ile şifrelenmiş bir yük derlenmiş JavaScript kodu içine gömülüyor. Zararlı eklentilerin, kurulumu takip eden 15 dakikalık gecikmeyle çalıştığı ve bu yöntemin analiz ortamlarından kaçınmayı amaçladığı ifade edildi.
GlassWorm’un yeni sürümü, PowerShell yerine AppleScript kullanıyor ve kalıcılık için Windows Kayıt Defteri yerine LaunchAgents mekanizmasından yararlanıyor. Komuta-kontrol altyapısında ise önceki kampanyalarda da kullanılan Solana blokzinciri tabanlı yapı korunuyor.
Trojenli Donanım Cüzdanları ve Keychain Hedefi
Zararlı yazılımın, 50’den fazla tarayıcı kripto eklentisini, geliştirici hesap bilgilerini ve tarayıcı verilerini hedef almasının yanı sıra artık macOS Keychain parolalarına erişmeye çalıştığı kaydedildi. Ayrıca sistemde Ledger Live ve Trezor Suite gibi donanım cüzdan uygulamalarını tespit ederek, bunları trojenli sürümlerle değiştirmeyi amaçlayan yeni bir yetenek eklendi.
Koi Security, bu mekanizmanın şu an için başarısız olduğunu ve trojenli cüzdan dosyalarının boş döndüğünü belirtti. Kurum, “Bu durum saldırganların macOS cüzdan trojenlerini henüz hazırlamakta olduğunu ya da altyapının geçiş aşamasında bulunduğunu gösteriyor. Ancak tüm diğer zararlı işlevler aktif durumda.” açıklamasını yaptı.
Binlerce İndirme, Artan Risk
OpenVSX üzerinde yayımlanan ve zararlı olduğu tespit edilen eklentilerden bazılarının 33 bini aşkın indirme sayısına ulaştığı görüldü. Uzmanlar, bu tür rakamların güvenilirlik algısı oluşturmak için manipüle edilebildiğine dikkat çekti.
Güvenlik uzmanları, ilgili eklentileri yükleyen geliştiricilerin derhal kaldırma, GitHub parolalarını sıfırlama, npm erişim anahtarlarını iptal etme, sistemlerini detaylı şekilde kontrol etme ve gerekirse işletim sistemini yeniden kurma çağrısında bulundu.
Ajans Expres Gazetesi
Tepkiniz Nedir?
