Kampanye malware GlassWorm kembali muncul dalam gelombang keempat, kali ini secara khusus menargetkan developer macOS melalui ekstensi berbahaya di VSCode dan OpenVSX. Serangan terbaru ini menyebarkan versi trojan dari aplikasi wallet kripto, memperluas dampak ancaman terhadap ekosistem pengembang.
GlassWorm Menyusup Lewat Ekstensi VSCode & OpenVSX
Ekstensi di Microsoft Visual Studio Marketplace dan OpenVSX Registry memungkinkan editor berbasis VS Code menambahkan fitur seperti tool pengembangan, dukungan bahasa, dan tema. Namun, GlassWorm memanfaatkan kepercayaan ini untuk menyebarkan malware tersembunyi.
GlassWorm pertama kali terdeteksi pada Oktober 2025, disamarkan dalam ekstensi berbahaya menggunakan karakter Unicode “tak terlihat”. Setelah terpasang, malware ini mampu:
- Mencuri kredensial GitHub, npm, dan OpenVSX
- Mengambil data wallet kripto dari berbagai ekstensi
- Memberikan akses jarak jauh via VNC
- Mengalihkan lalu lintas jaringan melalui SOCKS proxy
Meski telah terungkap ke publik dan pertahanan ditingkatkan, GlassWorm kembali muncul di OpenVSX pada awal November dan VSCode pada awal Desember.
Kini Fokus ke macOS, Bukan Lagi Windows
Peneliti dari Koi Security menemukan kampanye GlassWorm terbaru yang secara eksklusif menargetkan macOS, berbeda dari gelombang sebelumnya yang berfokus pada Windows.
Perubahan teknik utama pada gelombang terbaru:
- Payload terenkripsi AES‑256‑CBC disisipkan dalam JavaScript terkompilasi
- Tidak lagi menggunakan Unicode tersembunyi atau binary Rust
- Eksekusi tertunda 15 menit untuk menghindari analisis sandbox
- Menggunakan AppleScript alih‑alih PowerShell
- Persistensi melalui LaunchAgents, bukan Registry
Ekstensi berbahaya yang teridentifikasi antara lain:
studio-velte-distributor.pro-svelte-extensioncudra-production.vsce-prettier-proPuccin-development.full-access-catppuccin-pro-extension
Curi Keychain & Ganti Wallet Hardware dengan Versi Trojan
Selain menargetkan lebih dari 50 ekstensi wallet kripto browser, GlassWorm kini juga:
- Mencuri password Keychain macOS
- Mengambil data browser dan kredensial developer
- Mendeteksi aplikasi wallet hardware seperti Ledger Live dan Trezor Suite
- Mengganti aplikasi tersebut dengan versi trojan
Namun, Koi Security mencatat bahwa fitur penggantian wallet ini belum berfungsi sempurna, karena file trojan yang dikirim masih kosong.
“Kemampuan ini sudah siap, hanya menunggu payload diunggah. Semua fungsi berbahaya lain tetap aktif,” jelas Koi Security.
Ekstensi Masih Terdeteksi, Unduhan Bisa Dimanipulasi
Saat diperiksa, OpenVSX menampilkan peringatan bahwa dua ekstensi berasal dari publisher tidak terverifikasi. Meski begitu, penghitung unduhan menunjukkan lebih dari 33.000 instalasi, angka yang diduga dimanipulasi untuk meningkatkan kepercayaan.
Langkah Darurat untuk Developer
Developer yang pernah menginstal salah satu ekstensi tersebut disarankan untuk:
- Segera menghapus ekstensi
- Mengganti password GitHub
- Mencabut token NPM
- Memeriksa sistem dari indikasi infeksi
- Melakukan reinstall sistem jika diperlukan
Kesimpulan
Gelombang terbaru GlassWorm menunjukkan evolusi serius dalam serangan supply‑chain terhadap developer macOS. Dengan fokus pada wallet kripto dan kredensial pengembang, ancaman ini berpotensi menyebabkan kerugian finansial dan kebocoran akses yang luas jika tidak segera ditangani.