Gli esperti di Koi Security hanno individuato una nuova campagna malware (la quarta), denominata GlassWorm, che prende di mira gli sviluppatori macOS. I cybercriminali nascondono il malware nelle estensioni Open VSX per Visual Studio Code, l’ambiente di sviluppo integrato di Microsoft. L’obiettivo è rubare numerosi dati sensibili e le criptovalute (anche dai wallet hardware).
Descrizione della nuova versione di GlassWorm
La prima campagna malware è stata scoperta a metà ottobre 2025. GlassWorm era stato nascosto in alcune estensioni distribuite tramite Microsoft Visual Studio Code Marketplace e Open VSX, usando caratteri Unicode invisibili. Altre due campagne sono state individuate durante il mese di novembre 2025.
Nei tre casi sono stati colpiti gli sviluppatori Windows. A partire dal 19 dicembre 2025, i cybercriminali hanno effettuato il passaggio a macOS. L’infrastruttura è ancora operativa. Gli esperti di Koi Security hanno trovato tre estensioni sul marketplace Open VSX. Stavolta, il codice del malware è scritto in JavaScript e nascosto con crittografia AES-256-CBC.
Invece di PowerShell viene usato AppleScript per l’esecuzione. Invece delle chiavi di registro o attività pianificate viene usato LaunchAgents per la persistenza. Prima dell’esecuzione del malware c’è un’attesa di 15 minuti per evitare l’analisi dinamica all’interno delle sandbox (che solitamente dura 5 minuti). Il server C2 (command and control) sfrutta la blockchain Solana, quindi non può essere bloccato.
GlassWorm accede ad oltre 50 estensioni di wallet per browser, ruba credenziali GitHub e npm, cookie da Chrome, Brave, Edge e Firefox, configurazioni VPN e password Keychain. La vera novità è rappresentata dal furto di criptovalute da wallet hardware.
Ciò avviene sostituendo le app legittime di Ledger Live e Trezor Suite con versioni infette. I cybercriminali possono mostrare indirizzi fasulli, modificare i dettagli della transazione prima della firma, catturare la seed phrase e intercettare le comunicazioni tra app e dispositivo. Chi ha installato le tre estensioni deve rimuoverle al più presto.
