Un nuovo attacco malware noto come GlassWorm sta colpendo i sistemi macOS, in particolare gli sviluppatori che utilizzano estensioni per VSCode/OpenVSX. Le estensioni sono state compromesse e ora diffondono versioni trojanizzate di applicazioni di portafoglio di criptovalute. Il malware è stato scoperto per la prima volta a ottobre e, nonostante gli sforzi per contrastarlo, è tornato più volte, adattandosi e cambiando le sue tattiche.
Il funzionamento del malware
Il malware utilizza estensioni dell’OpenVSX registry e del Microsoft Visual Studio Marketplace per diffondersi. Una volta installato, il malware tenta di rubare credenziali per GitHub, npm e OpenVSX, nonché dati dei portafogli di criptovalute. Inoltre, consente l’accesso remoto attraverso VNC e può instradare il traffico attraverso la macchina della vittima tramite un proxy SOCKS. Il malware è in grado di sostituire i portafogli di criptovalute legittimi con versioni trojanizzate, anche se attualmente questo meccanismo non funziona correttamente.
La minaccia per gli sviluppatori
Gli sviluppatori che hanno installato le estensioni infette sono invitati a rimuoverle immediatamente, resettare le password dei loro account GitHub, revocare i token npm e verificare se il loro sistema è stato infettato. Il malware rappresenta una seria minaccia per la sicurezza degli sviluppatori e dei loro progetti, ed è importante adottare misure di sicurezza adeguate per prevenirne la diffusione. La comunità degli sviluppatori deve essere consapevole di questo pericolo e collaborare per contrastare il malware e proteggere i propri sistemi e dati.
