Een nieuwe aanvalsgolf met de GlassWorm-malware richt zich specifiek op ontwikkelaars die macOS gebruiken. Deze malware zoekt naar apps die verband houden met hardwarematige cryptowallets en vervangt ze door kwaadaardige versies. GlassWorm is al langer actief en verscheen voor het eerst in oktober op de Microsoft Visual Studio Marketplace. Na installatie verzamelt de malware inloggegevens voor GitHub-, npm- en OpenVSX-accounts en informatie over cryptowallets. Ook kan het internetverkeer via een SOCKS-proxy omgeleid worden via het systeem van het slachtoffer.

Begin november dook GlassWorm opnieuw op in de OpenVSX Marketplace en in december op de VSCode Marketplace. Onderzoekers van Koi Security hebben nu een nieuwe campagne ontdekt die zich richt op macOS-systemen, terwijl eerdere versies zich op Windows richtten. Waar eerdere varianten gebruikmaakten van onzichtbare Unicode of gecompileerde Rust-binaries, gebruikt de nieuwste versie een AES-256-CBC-versleutelde payload in JavaScript. De malware richt zich op meer dan 50 crypto-gerelateerde browserextensies en zoekt naar inloggegevens voor GitHub en npm. Ook probeert het browserdata en Keychain-wachtwoorden te stelen. Een nieuwe functie zoekt naar apps voor hardwarematige cryptowallets zoals Ledger Live en Trezor Suite en vervangt deze door kwaadaardige versies om toegang te krijgen tot cryptowallets. Deze functie werkt nog niet volledig; de malafide wallets sturen momenteel lege data terug naar de aanvallers. Koi Security vermoedt dat de infrastructuur nog in opbouw is of dat de functionaliteit nog in ontwikkeling is.