Une quatrième vague de la campagne malveillante GlassWorm frappe spécifiquement les développeurs travaillant sur macOS. Les chercheurs en sécurité ont découvert que des extensions compromises sur OpenVSX et Microsoft Visual Studio Marketplace déploient des chevaux de Troie capables de remplacer des applications de portefeuilles de cryptomonnaies et de dérober des mots de passe iCloud.

MacBook Air M4 2025 13 et 15 Pouces

Après Windows, le malware GlassWorm vise les Mac

Contrairement aux précédentes itérations qui visaient Windows, cette nouvelle offensive se concentre exclusivement sur Apple et les Mac. Les pirates ont infiltré OpenVSX, une alternative open source au marché de Microsoft, en y plaçant des extensions corrompues. Les chercheurs de Koi Security ont identifié trois extensions spécifiques contenant la charge utile malveillante :

  • studio-velte-distributor.pro-svelte-extension
  • cudra-production.vsce-prettier-pro
  • Puccin-development.full-access-catppuccin-pro-extension

Bien que les compteurs de téléchargement affichent plus de 33 000 installations, ces chiffres sont souvent manipulés artificiellement par les hackers pour crédibiliser leurs leurres. Ces extensions utilisent désormais une payload chiffré en AES-256-CBC, dissimulé dans du code JavaScript compilé et intègrent un délai d’exécution de 15 minutes pour tromper les outils d’analyse en bac à sable (sandbox).

Les portefeuilles cryptos et mots de passe sont visés

L’architecture du malware a été adaptée pour macOS. Il abandonne PowerShell et le registre de Windows au profit d’AppleScript et des LaunchAgents pour assurer sa persistance sur la machine infectée. Le mécanisme de commande et contrôle (C2), basé sur la blockchain Solana, reste cependant inchangé.

Cette version de GlassWorm étend ses capacités de vol de données avec

  • Vol d’identifiants développeurs : ciblage des comptes GitHub et NPM.
  • Exfiltration de mots de passe : tentative de récupération des accès stockés dans le trousseau iCloud.
  • Remplacement d’applications : le logiciel malveillant détecte la présence d’applications de portefeuilles physiques comme Ledger Live et Trezor Suite pour les remplacer par des versions incluant un cheval de Troie.

GlassWorm Malware Mac

Toutefois, Koi Security note que cette fonction de remplacement de portefeuille échoue pour le moment, les fichiers récupérés étant vides. Cela suggère que les hackers préparent encore ses versions vérolées ou que l’infrastructure est en cours de transition.

Cette campagne, active depuis octobre avec des méthodes variant des caractères Unicode invisibles aux binaires Rust, prouve la persévérance du groupe de hackers. Les développeurs ayant installé l’une des extensions incriminées doivent agir immédiatement.

Il est impératif de supprimer ces extensions, de réinitialiser les mots de passe des comptes GitHub et de révoquer les tokens NPM. Une vérification complète de macOS ou une réinstallation propre est recommandée pour éliminer toute trace d’infection persistante. Bien que la plateforme OpenVSX affiche désormais un avertissement sur certains éditeurs non vérifiés, la vigilance reste de mise.