Netcrook Logo
👤 LOGICFALCON
🗓️ 31 Dec 2025   🌍 North America

Malware sotto mentite spoglie: come GlassWorm ha dirottato le estensioni di VS Code per colpire gli sviluppatori macOS

Una nuova campagna furtiva arma strumenti di sviluppo affidabili per prendere di mira utenti Apple e i loro portafogli crypto.

È iniziato come qualsiasi altro aggiornamento - una normale installazione di un’estensione in Visual Studio Code, l’editor di codice più popolare al mondo. Ma per decine di migliaia di sviluppatori macOS ignari, quel download è stato l’atto iniziale di un sofisticato attacco informatico. Il colpevole: GlassWorm, una variante di malware auto-evolutiva che ha cambiato tattiche, strumenti e obiettivi in una ricerca incessante di vittime di alto valore.

Anatomia di un attacco mirato agli sviluppatori

La campagna di GlassWorm segna un’evoluzione drammatica nel modus operandi del malware. Se in passato gli attacchi si basavano su trucchi Unicode invisibili e prendevano di mira Windows, questa quarta ondata riguarda esclusivamente macOS - e gli sviluppatori di alto profilo che lavorano nel settore delle criptovalute e del Web3. Sfruttando la fiducia riposta nelle estensioni open-source di VS Code, GlassWorm è riuscito a infiltrarsi negli ambienti di lavoro di migliaia di persone, piazzando una bomba a orologeria camuffata da software per la produttività.

Gli investigatori hanno ricondotto la campagna a tre estensioni presenti sul marketplace Open VSX - ognuna collegata da una chiave di crittografia AES-256-CBC hardcoded e da un’infrastruttura di comando e controllo (C2) condivisa. Il payload del malware, nascosto all’interno di JavaScript compilato e cifrato, è programmato per attendere ben 15 minuti prima di attivarsi, sfuggendo così ai controlli automatici di sicurezza che solitamente vanno in timeout dopo cinque minuti.

macOS sotto assedio

Questa ondata è progettata su misura per l’ecosistema Apple. GlassWorm sfrutta AppleScript per l’esecuzione, LaunchAgents per la persistenza, e prende di mira direttamente il database Keychain di macOS per il furto di credenziali. Ma la sua innovazione più inquietante è l’attacco ai portafogli hardware - Ledger Live e Trezor Suite - sostituendo le applicazioni legittime con versioni trojanizzate. Se l’attacco riesce, i malintenzionati possono intercettare silenziosamente le seed phrase, alterare le transazioni e dirottare criptovalute, minando le fondamenta stesse della sicurezza dei portafogli hardware.

L’uso della blockchain Solana da parte di GlassWorm per le comunicazioni C2 è tanto ingegnoso quanto resiliente. Nascondendo gli endpoint C2 all’interno di memo di transazioni codificati in base64, il malware garantisce che la propria infrastruttura sia decentralizzata e difficile da smantellare - un segnale inquietante per i difensori.

Minaccia adattiva, partita ancora aperta

Per ora, i payload più recenti recuperati dai server C2 risultano vuoti, segno che GlassWorm è ancora in fase di preparazione. Tuttavia, il codice del malware include contromisure - come controlli sulla dimensione dei file per evitare l’analisi - che indicano un avversario paziente e metodico. Ogni divulgazione pubblica scatena un aggiornamento, mentre gli operatori di GlassWorm studiano le ricerche sulla sicurezza e modificano le proprie tattiche con una rapidità inquietante.

Per sviluppatori ed entusiasti delle criptovalute, il messaggio è chiaro: la fiducia nei propri strumenti è il nuovo campo di battaglia. Come dimostra l’evoluzione di GlassWorm, anche gli ambienti più familiari possono essere trasformati in armi contro di voi. Vigilanza - e scetticismo - sono ora strumenti essenziali nel kit dello sviluppatore.

WIKICROOK

  • Comando: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo indirizza a compiere azioni specifiche, talvolta per scopi malevoli.
  • AES: AES (Advanced Encryption Standard) è un potente metodo di crittografia che rende i dati illeggibili senza la chiave corretta.
  • AppleScript: AppleScript è un linguaggio di scripting di macOS per automatizzare attività, ma può anche essere sfruttato dai malware per eseguire comandi nascosti o non autorizzati.
  • LaunchAgents: I LaunchAgents sono file di macOS che fanno partire programmi o script automaticamente all’accesso dell’utente, spesso monitorati per motivi di sicurezza e attività malevole.
  • Trojanizzazione: La trojanizzazione consiste nell’inserire malware in software affidabile, ingannando gli utenti affinché installino codice dannoso sotto le mentite spoglie di applicazioni legittime.
GlassWorm macOS malware VS Code extensions
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news