はじめに: macOSを狙うGlassWormの新たな脅威
2026年2月2日、GlassWormマルウェアによる新たな攻撃キャンペーンが明らかになりました。この攻撃は、macOSシステムを標的とし、侵害されたOpenVSXの拡張機能を通じて、パスワード、仮想通貨ウォレットデータ、開発者の認証情報や設定を窃取します。
攻撃の詳細と手口
今回の攻撃では、脅威アクターが正規開発者「oorzc」のアカウントへのアクセス権を獲得し、悪意のあるGlassWormペイロードを含むアップデートを以下の4つの拡張機能にプッシュしました。これらの拡張機能はこれまで約22,000回ダウンロードされていました。
- oorzc.ssh-tools v0.5.1
- oorzc.i18n-tools-plus v1.6.8
- oorzc.mind-map v1.0.61
- oorzc.scss-to-css-compile v1.3.4
悪意のあるアップデートは1月30日にプッシュされ、Socketの報告によると、これらの拡張機能は2年間無害でした。これは、oorzcのアカウントがGlassWormの運営者によって侵害された可能性が高いことを示唆しています。
GlassWormマルウェアの機能
研究者によると、このキャンペーンはmacOSシステムのみを標的としており、Solanaトランザクションのメモから指示をプルします。注目すべきは、ロシア語圏のシステムが攻撃対象から除外されている点で、攻撃者の出自を示唆している可能性があります。
GlassWormは、感染したシステムに永続性を確立するためにLaunchAgentを介して実行されるmacOS情報窃取ツールをロードします。このマルウェアは以下のデータを収集します。
- FirefoxおよびChromiumのブラウザデータ
- ウォレット拡張機能およびウォレットアプリ
- macOSキーチェーンデータ
- Apple Notesデータベース
- SafariのCookie
- 開発者の秘密情報
- ローカルファイルシステムからのドキュメント
窃取されたデータは、攻撃者のインフラストラクチャである45.32.150[.]251にすべて流出されます。
プラットフォームの対応と影響
Socketのセキュリティチームは、Open VSXプラットフォームの運営者であるEclipse Foundationにこの問題を報告しました。Eclipse Foundationのセキュリティチームは、不正な公開アクセスを確認し、トークンを取り消し、悪意のあるリリースを削除する措置を講じました。ただし、oorzc.ssh-toolsだけは、複数の悪意のあるリリースが発見されたため、Open VSXから完全に削除されました。
現在、市場にある影響を受けた拡張機能のバージョンはクリーンですが、悪意のあるリリースをダウンロードした開発者は、完全なシステムクリーンアップを実行し、すべての秘密鍵とパスワードをローテーションする必要があります。
ITインフラの未来
現代のITインフラは、手作業のワークフローでは追いつけない速度で進化しています。この新たなTinesガイドでは、チームが手作業による遅延を削減し、自動化された応答を通じて信頼性を向上させ、既存のツール上にインテリジェントなワークフローを構築・拡張する方法を学ぶことができます。