macOS狙う「GlassWorm」マルウェア、新たな攻撃キャンペーンを確認

GlassWormの新たな動向、macOS向け悪性拡張機能を確認

macOSを標的とする「GlassWorm」マルウェアの新たな攻撃キャンペーンが確認され、開発者への影響が懸念されている。
今回のキャンペーンでは、VSCodeやOpenVSXの拡張機能を通じて、トロイの木馬化された暗号資産ウォレットが配布されており、注意が呼びかけられている。

GlassWormはこれまでにも、「不可視の」ユニコード文字を悪用して不正な拡張機能を隠蔽する手法を用い、複数のプラットフォームで確認されてきた。
特に今回のmacOS向けキャンペーンでは、AES-256-CBCで暗号化されたペイロードが使用され、JavaScriptコードとしてコンパイルされた形でOpenVSXの拡張機能に組み込まれていたとされる。

macOSへの標的転換と攻撃手法の変化

今回の攻撃で注目されるのは、GlassWormが標的とするプラットフォームを転換した点だ。
これまで主にWindows環境を狙っていた同マルウェアは、現在ではmacOSを主要な攻撃対象としており、暗号資産やWeb3、スタートアップ分野でApple製デバイスを利用する開発者層を意識した戦略的な動きとみられている。

macOS環境では、GlassWormはAppleScriptを用いて実行され、LaunchAgentsを介して永続性を確保する手法を採用している。
また、Keychainに保存されたパスワードの窃取を試みるほか、Ledger LiveやTrezor Suiteといったハードウェア暗号資産ウォレットアプリを、トロイの木馬化された不正なバージョンに置き換える機能も確認されている。

GlassWormのインフラ構成と新たな脅威

GlassWormのコマンド・アンド・コントロール（C2）インフラは、Solanaブロックチェーンを基盤としており、分散性や改ざん耐性、削除の困難さといった特性を備えている。
新たに確認されたSolanaのウォレットアドレスに加え、過去のキャンペーンで使用されていたIPアドレスと重複するインフラの存在も判明した。

従来のキャンペーンでは、主に資格情報の窃取やバックドアの設置が中心だったが、今回の動向ではハードウェア暗号資産ウォレットのトロイの木馬化が最大の脅威とみられている。
攻撃が成功した場合、偽の受信アドレスを表示したり、取引内容を改ざんしたりすることで、ハードウェアウォレットの安全性を実質的に無効化する恐れがある。

ユーザーおよび開発者への注意喚起

現在、OpenVSXプラットフォームでは、問題となっている拡張機能について、パブリッシャーが未検証であるとの警告が表示されている。
当該拡張機能はインストール数が3万3,000回を超えているとされるが、この数値については、脅威アクターによる操作の可能性も指摘されている。

専門家は、開発者に対し、該当する拡張機能を速やかに削除するとともに、GitHubアカウントのパスワードを変更し、NPMトークンを無効化するよう呼びかけている。
あわせて、システムに感染の兆候がないか確認し、状況に応じて再インストールを検討する必要があるとしている。
GlassWormの進化は、セキュリティ研究や対策への高い適応力を示しており、ユーザー側にも継続的な警戒が求められている。