Serangan GlassWorm Baru Menargetkan macOS Lewat Ekstensi OpenVSX yang Disusupi
Peneliti keamanan mengungkap kampanye baru malware GlassWorm yang menargetkan sistem macOS melalui ekstensi OpenVSX yang telah disusupi. Serangan ini difokuskan pada pencurian kata sandi, data dompet kripto, serta kredensial dan konfigurasi pengembang, dengan memanfaatkan pembaruan berbahaya pada ekstensi yang sebelumnya sah.
Dalam kampanye terbaru ini, pelaku berhasil mengambil alih akun pengembang ekstensi yang sah dan mendistribusikan pembaruan berbahaya berisi muatan GlassWorm ke empat ekstensi populer. Keempat ekstensi tersebut tercatat telah diunduh sekitar 22.000 kali sebelum pembaruan berbahaya terdeteksi dan ditarik dari peredaran.
Evolusi GlassWorm dan Pola Serangan
GlassWorm pertama kali terdeteksi pada akhir Oktober, dengan teknik penyamaran kode menggunakan karakter Unicode “tak terlihat” untuk menyembunyikan aktivitas berbahaya. Malware ini dikenal mampu mencuri data dompet kripto serta kredensial akun pengembang, sekaligus mendukung akses jarak jauh berbasis VNC dan fungsi proxy SOCKS.
Seiring waktu, GlassWorm berevolusi dan muncul dalam beberapa gelombang serangan yang menargetkan ekosistem pengembangan perangkat lunak. Selain menyerang marketplace resmi Visual Studio Code, malware ini juga menyasar OpenVSX, platform open-source yang banyak digunakan oleh IDE alternatif.
Kampanye sebelumnya menunjukkan upaya adaptasi GlassWorm ke lingkungan macOS, termasuk pengembangan mekanisme untuk menggantikan aplikasi dompet kripto tertentu. Serangan terbaru ini memperkuat indikasi bahwa pelaku secara khusus memfokuskan operasinya pada pengguna macOS.
Ekstensi yang Disusupi dan Cara Infeksi
Menurut laporan terbaru dari tim keamanan Socket, kampanye ini dilakukan dengan men-trojan-kan empat ekstensi OpenVSX berikut melalui pembaruan berbahaya yang dirilis pada 30 Januari:
- ssh-tools versi 0.5.1
- i18n-tools-plus versi 1.6.8
- mind-map versi 1.0.61
- scss-to-css-compile versi 1.3.4
Seluruh ekstensi tersebut sebelumnya dinilai aman dan telah beredar selama sekitar dua tahun, yang menguatkan dugaan bahwa akun pengembangnya telah dikompromikan oleh operator GlassWorm.
Peneliti menyebutkan bahwa serangan ini secara eksklusif menargetkan macOS dan mengambil instruksi tambahan dari memo transaksi di jaringan Solana. Menariknya, sistem dengan pengaturan lokal bahasa Rusia dikecualikan dari eksekusi malware, yang memicu spekulasi terkait asal-usul pelaku.
Aktivitas Malware dan Data yang Dicuri
Setelah dijalankan, GlassWorm memuat modul pencuri informasi khusus macOS dan membangun persistensi melalui LaunchAgent, sehingga malware dapat aktif setiap kali pengguna login. Muatan berbahaya ini mengumpulkan beragam data sensitif, termasuk:
- Data browser dari Firefox dan berbasis Chromium
- Ekstensi dan aplikasi dompet kripto
- Data Keychain macOS
- Basis data Apple Notes
- Cookie Safari
- Rahasia pengembang dan dokumen dari sistem berkas lokal
Seluruh data yang dikumpulkan kemudian dieksfiltrasi ke infrastruktur milik penyerang.
Tindakan Penanganan dan Imbauan
Tim Socket telah melaporkan temuan ini kepada pengelola OpenVSX. Pihak operator mengonfirmasi adanya akses publikasi yang tidak sah, mencabut token terkait, serta menghapus rilis berbahaya dari platform. Salah satu ekstensi bahkan dihapus sepenuhnya setelah ditemukan beberapa rilis berbahaya.
Saat ini, versi ekstensi yang tersedia di OpenVSX telah dinyatakan bersih. Namun, pengembang dan pengguna yang sempat mengunduh versi berbahaya sangat disarankan untuk melakukan pembersihan sistem secara menyeluruh, mengganti seluruh kata sandi, serta merotasi semua kredensial dan rahasia pengembangan yang mungkin terekspos.
Insiden ini kembali menegaskan bahwa serangan rantai pasok perangkat lunak tetap menjadi ancaman serius, khususnya bagi ekosistem pengembang yang mengandalkan ekstensi dan plugin dari repositori publik.
