サイバーニュース.jp

世界のサイバーなニュースを配信

「GlassWorm」マルウェアの新たな波がMacを標的に、トロイの木馬化された仮想通貨ウォレットを拡散

カテゴリ:

「GlassWorm」マルウェア、Mac開発者を狙う新たな攻撃

「GlassWorm」キャンペーンの第4波が、macOS開発者を標的としています。この新たな攻撃は、悪意のあるVSCode/OpenVSX拡張機能を通じて、トロイの木馬化された仮想通貨ウォレットアプリケーションを配布しています。

OpenVSXレジストリとMicrosoft Visual Studio Marketplaceの拡張機能は、VS Code互換エディタの機能を拡張し、開発ツール、言語サポート、テーマといった形で機能や生産性向上をもたらします。MicrosoftのマーケットプレイスはVisual Studio Codeの公式拡張機能ストアであり、OpenVSXは、主にMicrosoft独自のマーケットプレイスをサポートしない、または依存しないエディタで使用されるオープンでベンダーに依存しない代替手段です。

過去の攻撃と進化

GlassWormマルウェアは、昨年10月に初めてマーケットプレイスに登場しました。その際は「不可視」のUnicode文字を使用して悪意のある拡張機能内に隠されていました。一度インストールされると、このマルウェアはGitHub、npm、OpenVSXアカウントの認証情報や、複数の拡張機能から仮想通貨ウォレットのデータを盗み出そうとしました。さらに、VNCを介したリモートアクセスをサポートし、SOCKSプロキシを通じて被害者のマシン経由でトラフィックをルーティングすることも可能でした。

公に露見し、防御策が強化されたにもかかわらず、GlassWormは11月上旬にOpenVSXで、そして12月上旬にはVSCodeで再び確認されました。

最新の攻撃手法:macOSに特化

Koi Securityの研究者たちによると、今回のGlassWormキャンペーンはmacOSシステムのみを標的にしていることが判明しました。これは、以前のキャンペーンがWindowsに焦点を当てていた点からの大きな変化です。

最初の2つの波で見られた不可視のUnicodeや、第3波で使用されたコンパイル済みRustバイナリとは異なり、最新のGlassWorm攻撃では、OpenVSX拡張機能内のコンパイル済みJavaScriptにAES-256-CBC暗号化されたペイロードが埋め込まれています。これらの悪意ある拡張機能は以下の通りです:

  • studio-velte-distributor.pro-svelte-extension
  • cudra-production.vsce-prettier-pro
  • Puccin-development.full-access-catppuccin-pro-extension

巧妙な実行メカニズムと持続性

悪意あるロジックは15分の遅延後に実行されます。これは、サンドボックス環境での分析を回避するための試みである可能性が高いです。また、従来のPowerShellの代わりにAppleScriptを、レジストリ変更の代わりにLaunchAgentsを使用して永続性を確保しています。Solanaブロックチェーンベースのコマンド&コントロール(C2)メカニズムは変更されていませんが、研究者たちはインフラの重複も指摘しています。

新たな窃取対象:Keychainパスワードとハードウェアウォレット

50以上のブラウザベースの仮想通貨拡張機能、開発者認証情報(GitHub、NPM)、ブラウザデータに加えて、GlassWormはKeychainパスワードの窃取も試みています。さらに、新しい機能として、Ledger LiveやTrezor Suiteのようなハードウェア仮想通貨ウォレットアプリがホストに存在するかどうかを確認し、それらをトロイの木馬化されたバージョンに置き換える機能が追加されました。

ウォレット置換機能の現状と脅威

しかし、Koi Securityは、このメカニズムが現在機能不全に陥っていると指摘しています。トロイの木馬化されたウォレットが空のファイルを返しているためです。Koi Securityは「これは攻撃者がmacOSウォレットのトロイの木馬をまだ準備しているか、インフラが移行中であることを意味する可能性があります。この機能は構築され、準備ができており、ペイロードがアップロードされるのを待っているだけです。他の全ての悪意ある機能(認証情報窃取、Keychainアクセス、データ流出、永続性)は完全に動作します。」と説明しています。

被害からの保護と推奨事項

BleepingComputerがOpenVSX上で悪意ある拡張機能がまだ利用可能か確認したところ、プラットフォームは2つの拡張機能に対し、発行元が未検証であることを示す警告を表示していました。

ダウンロードカウンターは33,000回以上のインストール数を示していますが、このような数字は脅威アクターによって信頼性を高めるために頻繁に操作されることがあります。以下の3つの拡張機能のいずれかをインストールした開発者は、直ちにそれらを削除し、GitHubアカウントのパスワードをリセットし、NPMトークンを取り消し、システムに感染の兆候がないか確認するか、またはシステムを再インストールすることが強く推奨されます。

  • studio-velte-distributor.pro-svelte-extension
  • cudra-production.vsce-prettier-pro
  • Puccin-development.full-access-catppuccin-pro-extension

元記事: https://www.bleepingcomputer.com/news/security/new-glassworm-malware-wave-targets-macs-with-trojanized-crypto-wallets/

投稿をさらに読み込む