A ideia de que os computadores da Apple são imunes a vírus e malware é um mito que continua a cair por terra. Uma nova vaga de ataques cibernéticos está a visar especificamente os programadores que utilizam o ecossistema macOS, utilizando extensões comprometidas para infiltrar sistemas e roubar ativos digitais valiosos.
Esta é a quarta vaga da campanha conhecida como "GlassWorm", que agora mudou o seu foco principal dos sistemas Windows para o ambiente da Apple. Segundo os investigadores da Koi Security, os atacantes estão a utilizar extensões maliciosas alojadas no registo OpenVSX — uma alternativa de código aberto ao marketplace oficial da Microsoft — para distribuir versões "trojanizadas" de aplicações de carteiras de criptomoedas.
De Windows para macOS: Uma mudança de estratégia
O malware GlassWorm foi detetado pela primeira vez em outubro, escondido através de caracteres Unicode "invisíveis" dentro de extensões aparentemente legítimas. Enquanto as vagas anteriores se focaram em ambientes Windows, esta nova iteração foi reescrita para explorar especificamente as vulnerabilidades do sistema operativo da Apple.
Os ataques mais recentes utilizam um payload encriptado (AES-256-CBC) que está embutido em código JavaScript compilado nas seguintes extensões do OpenVSX:
studio-velte-distributor.pro-svelte-extension
cudra-production.vsce-prettier-pro
Puccin-development.full-access-catppuccin-pro-extension
Para evitar a deteção por ferramentas de análise automática e sandboxes, o código malicioso possui um atraso de execução de 15 minutos. Uma vez ativado, o malware abandona o uso do PowerShell (típico do Windows) e passa a utilizar AppleScript e LaunchAgents para garantir a persistência no sistema infetado.
Esta tática faz lembrar outros casos recentes onde extensões maliciosas no Visual Studio Code foram apanhadas a realizar ações semelhantes, demonstrando que os ambientes de desenvolvimento integrado (IDEs) são cada vez mais um vetor de ataque preferencial.
Carteiras de criptomoedas na mira
O objetivo principal do GlassWorm continua a ser o roubo de informações sensíveis. O malware está programado para exfiltrar credenciais de plataformas essenciais para programadores, como o GitHub e o NPM, bem como dados de contas do próprio OpenVSX. Além disso, tenta aceder às palavras-passe armazenadas no Keychain do macOS e varre mais de 50 extensões de browser relacionadas com criptoativos.
No entanto, a característica mais alarmante desta nova versão é a sua tentativa de substituir aplicações legítimas de carteiras de hardware, como o Ledger Live e o Trezor Suite, por versões infetadas.
Apesar da sofisticação, a Koi Security nota que este mecanismo específico está, para já, a falhar. As versões "trojanizadas" que o malware tenta descarregar estão a retornar ficheiros vazios, o que sugere que os atacantes ainda podem estar a preparar os payloads finais ou a migrar a sua infraestrutura. Contudo, todas as outras funcionalidades de roubo de dados e acesso remoto permanecem totalmente operacionais.
Embora os contadores de downloads mostrem mais de 33.000 instalações destas extensões, é provável que estes números tenham sido manipulados artificialmente para dar uma falsa sensação de confiança aos utilizadores. Recomenda-se a quem tenha instalado qualquer uma das extensões mencionadas que as remova imediatamente e proceda à alteração de todas as credenciais e tokens de acesso.
Estes ataques sublinham a importância de verificar sempre a origem das ferramentas de desenvolvimento, mesmo em plataformas consideradas seguras, uma vez que os piratas informáticos continuam a desenvolver formas criativas de infetar utilizadores de macOS e roubar dados críticos.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech