Nghiêm trọng: Mã độc GlassWorm tấn công macOS qua VS Code
Một làn sóng mới của mã độc GlassWorm đã xuất hiện, đánh dấu sự thay đổi đáng kể trong chiến lược nhắm mục tiêu từ hệ điều hành Windows sang macOS. Loại sâu tự lan truyền này, được phân phối thông qua các tiện ích mở rộng VS Code độc hại trên chợ ứng dụng Open VSX, đã ghi nhận hơn 50.000 lượt tải xuống. Sự phát triển này đặt ra những thách thức mới cho an ninh mạng.
Phân Tích Mã Độc GlassWorm: Từ Windows Đến macOS
Các Biến Thể Và Phương Thức Phân Phối
Kẻ tấn công đằng sau GlassWorm đã chứng tỏ khả năng thích ứng vượt trội, phát triển qua bốn làn sóng riêng biệt kể từ tháng 10. Các chiến dịch trước đây dựa vào ký tự Unicode vô hình và các tệp nhị phân Rust được biên dịch để che giấu mã độc.
Lần lặp lại mới nhất đã loại bỏ các phương pháp này, thay vào đó sử dụng các payload JavaScript được mã hóa AES-256-CBC, thiết kế đặc biệt cho môi trường macOS.
Ba tiện ích mở rộng đáng ngờ đã được gắn cờ trên chợ ứng dụng Open VSX:
pro-svelte-extensionvsce-prettier-profull-access-catppuccin-pro-extension
Tất cả các tiện ích này được kết nối thông qua cơ sở hạ tầng và khóa mã hóa dùng chung, xác nhận một tác nhân đe dọa duy nhất đứng sau chiến dịch này.
Thay Đổi Đáng Chú Ý Trong Làn Sóng Thứ Tư
Làn sóng thứ tư của mã độc GlassWorm giới thiệu một số thay đổi đáng lo ngại. Bao gồm các payload được mã hóa, khả năng trojan hóa ví phần cứng và các kỹ thuật lẩn tránh sandbox tinh vi, cho phép nó vượt qua các công cụ quét bảo mật truyền thống.
Cơ Chế Khai Thác Và Lẩn Tránh
Vượt Qua Phát Hiện Sandbox
Một trong những đặc điểm nổi bật của làn sóng thứ tư là cơ chế hẹn giờ thông minh, được thiết kế để lẩn tránh phân tích bảo mật tự động. Sau khi được cài đặt, tiện ích mở rộng độc hại sẽ chờ chính xác 15 phút trước khi thực thi payload của nó.
Sự chậm trễ này rất quan trọng vì hầu hết các môi trường sandbox đều hết thời gian sau 5 phút, khiến mã độc GlassWorm hoàn toàn vô hại trong quá trình quét tự động.
Cơ Chế Mã Hóa Và Giải Mã Payload
Mã của tiện ích mở rộng chứa giá trị được mã hóa cứng là 9e5 mili giây (900.000 mili giây tương đương 15 phút), kích hoạt quá trình giải mã và thực thi payload được mã hóa AES-256-CBC.
Payload được nhúng tại dòng 64 của tệp tiện ích mở rộng chính, được mã hóa bằng khóa và vectơ khởi tạo cứng, không đổi trên cả ba tiện ích mở rộng độc hại.
Cơ Sở Hạ Tầng Command-and-Control (C2) Phi Tập Trung
Sử Dụng Solana Blockchain Cho C2
Mã độc GlassWorm sử dụng cơ sở hạ tầng command-and-control dựa trên blockchain Solana, khiến các nỗ lực gỡ bỏ gần như không thể. Bằng cách đăng các bản ghi giao dịch chứa URL được mã hóa base64 lên blockchain, kẻ tấn công duy trì quyền kiểm soát phi tập trung, không thể bị gián đoạn thông qua việc chặn tên miền truyền thống.
Sau khi thời gian chờ kết thúc, mã độc truy xuất điểm cuối C2 hiện tại từ blockchain Solana và thực thi bất kỳ hướng dẫn nào nhận được.
IOCs Liên Quan Đến Hạ Tầng C2
Các nhà nghiên cứu đã truy vết cơ sở hạ tầng C2 đến địa chỉ IP sau, địa chỉ này cũng đã được sử dụng trong làn sóng thứ ba, xác nhận tính liên tục của tác nhân đe dọa:
- IP:
45.32.151.157
Các nhà phân tích từ Koi đã xác định mã độc GlassWorm này thông qua phân tích hành vi sau khi công cụ đánh giá rủi ro của họ phát hiện các mẫu bất thường trong hành vi tiện ích mở rộng và giao tiếp mạng, là một ví dụ về phát hiện xâm nhập hiệu quả.
Ảnh Hưởng Trên Hệ Thống macOS
Các Kỹ Thuật Duy Trì Bền Bỉ
Payload dành riêng cho macOS bao gồm AppleScript để thực thi ẩn, và LaunchAgents để duy trì sự bền bỉ, thay vì sử dụng khóa Registry của Windows.
Đánh Cắp Thông Tin Từ Keychain
Mã độc GlassWorm có khả năng truy cập trực tiếp vào cơ sở dữ liệu macOS Keychain để truy xuất mật khẩu và thông tin đăng nhập được lưu trữ, gây ra rủi ro nghiêm trọng về đánh cắp dữ liệu.
Trojan Hóa Ví Phần Cứng
Mã độc còn bao gồm khả năng thay thế các ứng dụng ví phần cứng bằng các phiên bản bị trojan hóa, nhắm mục tiêu vào cả Ledger Live và Trezor Suite. Mặc dù chức năng thay thế ví chưa hoàn toàn hoạt động trong quá trình thử nghiệm vào ngày 29 tháng 12 năm 2025, nhưng cơ sở hạ tầng mã đã hoàn chỉnh và chờ tải lên payload.
Cơ Chế Chuẩn Bị Dữ Liệu Để Xuất Lộ
Mã độc xác thực rằng các tệp đã tải xuống vượt quá 1000 byte trước khi cài đặt, ngăn chặn các cài đặt bị lỗi có thể cảnh báo nạn nhân. Tất cả dữ liệu bị đánh cắp được dàn dựng trong thư mục tạm thời /tmp/ijewf/, sau đó nén lại và gửi đến máy chủ xuất lộ để kẻ tấn công truy xuất.
- Thư mục tạm thời:
/tmp/ijewf/ - Máy chủ xuất lộ:
45.32.150.251/p2p
Biện Pháp Phòng Ngừa và Phát Hiện
Lời Khuyên Chung Về An Ninh Mạng
Để giảm thiểu rủi ro từ các mối đe dọa mạng như mã độc GlassWorm, người dùng nên thực hiện các biện pháp sau:
- Luôn kiểm tra kỹ các tiện ích mở rộng VS Code trước khi cài đặt, chỉ tải xuống từ các nguồn đáng tin cậy.
- Sử dụng các giải pháp bảo mật Endpoint Detection and Response (EDR) có khả năng phân tích hành vi để phát hiện các hoạt động bất thường, kể cả khi có sự chậm trễ trong thực thi payload.
- Đảm bảo hệ điều hành và tất cả phần mềm được cập nhật thường xuyên với các bản vá bảo mật mới nhất.
- Cân nhắc sử dụng các giải pháp bảo mật chuyên biệt cho macOS có khả năng bảo vệ Keychain và phát hiện các ứng dụng giả mạo ví phần cứng.
- Thường xuyên sao lưu dữ liệu quan trọng và giữ bản sao ngoại tuyến để phục hồi sau sự cố.
