גל חדש ומסוכן של נוזקת ה-GlassWorm זוהה ברשת, וכעת הוא מתמקד באופן ספציפי במפתחים המשתמשים במחשבי Mac.
הקמפיין הזדוני משתמש בתוספים מזויפים ל-Visual Studio Code (VSCode) ול-OpenVSX כדי להחדיר למחשב גרסאות "טרויאניות" (Trojanized) של ארנקי קריפטו פופולריים.
מתחזים לכלים לגיטימיים
חוקרי אבטחה מחברת Koi Security גילו כי התוקפים מעלים תוספים (Extensions) זדוניים למאגרי ההורדות הפופולריים של מיקרוסופט ו-OpenVSX. התוספים נראים תמימים ומבטיחים לשפר את חווית הפיתוח (כגון כלי עיצוב קוד או ערכות נושא), אך בפועל מכילים קוד זדוני נסתר.
בניגוד לגלים הקודמים של הנוזקה שתקפו משתמשי Windows, הגרסה החדשה נבנתה במיוחד עבור macOS. היא משתמשת בסקריפטים של AppleScript ובמנגנון ה-LaunchAgents כדי להשיג אחיזה (Persistence) במערכת ולהישאר פעילה גם לאחר אתחול המחשב.
החלפת ארנקי חומרה בגרסאות מזויפות
החידוש המדאיג ביותר בגרסה זו הוא היכולת לזהות אפליקציות של ארנקי חומרה המותקנות במחשב, כגון Ledger Live ו-Trezor Suite. הנוזקה מנסה להחליף את האפליקציות הלגיטימיות בגרסאות טרויאניות שנראות זהות למקור, אך בפועל מעבירות את המידע הרגיש (כמו סיסמאות ומפתחות פרטיים) ישירות לתוקפים.
בנוסף, הנוזקה מנסה לגנוב:
- סיסמאות מצרור המפתחות של המערכת (macOS Keychain).
- אישורי גישה לחשבונות GitHub ו-NPM.
- נתונים מלמעלה מ-50 תוספי קריפטו בדפדפן.
התוספים הזדוניים שזוהו
אם התקנתם לאחרונה תוספים ל-VSCode, מומלץ לבדוק אם אחד מהשמות הבאים מופיע אצלכם ולהסיר אותו מיד:
- studio-velte-distributor.pro-svelte-extension
- cudra-production.vsce-prettier-pro
- Puccin-development.full-access-catppuccin-pro-extension
למרות שמספר ההורדות מציג עשרות אלפים, חוקרים מזהירים כי התוקפים מזייפים את המספרים כדי ליצור אמינות שווא.
מה עושים אם נפגעתם?
אם זיהיתם פעילות חשודה או שהתקנתם את אחד התוספים הנ"ל, הפעולה הראשונה היא הסרת התוסף וניקוי המחשב. לאחר מכן, חובה לשנות מיד את כל הסיסמאות לחשבונות המפתחים (GitHub, NPM) ולבדוק את שלמות ארנקי הקריפטו שלכם.
מומלץ להתקין מחדש את אפליקציות הארנק רק מהאתרים הרשמיים של היצרניות.
