.jpg)
기존 보안 스캐닝 도구 손쉽게 우회...5만 건 이상 다운로드 된 것으로 드러나
[보안뉴스 김형근 기자] 맥(macOS) 사용자를 공격하는 자기 복제형 악성코드 ‘글래스웜(GlassWorm)’ 주의보가 내려졌다. 글래스웜은 Open VSX 마켓플레이스에 배포된 악성 VS Code 확장 기능을 통해 퍼지고 있으며, 이미 5만 건 이상의 다운로드가 이루어진 것으로 드러났다.
[자료: gettyimagesbank]
해외 보안매체 Cybersecurity News에 따르면 이 악성코드는 △암호화된 페이로드△ 하드웨어 지갑 트로이화 기능 △정교한 샌드박스 회피 기법 등을 갖추며 진화를 거듭하면서 기존 보안 스캐닝 도구를 손쉽게 우회할 수 있다.
‘글래스웜’ 공격자는 2025년 10월 이후 4차례에 걸쳐 진화하면서 매우 빠르게 적응하고 있다. 이전 공격 캠페인에서는 보이지 않는 유니코드 문자와 Rust로 컴파일된 바이너리를 사용해 악성코드를 숨겼다. 그러나 최신 버전은 한 단계 더 진화해 AES-256-CBC로 암호화된 JavaScript 페이로드를 사용하는 등 맥 환경에 특화된 공격 기법을 선택했다.
특히, 글래스웜은 대부분의 샌드박스 환경이 보통 5분 내에 종료된다는 점을 악용해 설치 후 정확히 15분이 지난 뒤에 악성 활동을 시작하는 치밀한 지연 실행 전술을 구사한다.
이 악성코드는 전통적인 도메인 차단을 피하기 위해 솔라나(Solana) 블록체인을 명령제어(C2) 인프라로 활용한다.
해커가 블록체인 트랜잭션 메모에 암호화된 URL을 남기면, 악성코드가 이를 확인해 다음 공격 명령을 수행하는 방식이라 추적과 차단이 거의 불가능하다.
침투에 성공하면 맥의 비밀번호 저장소인 키체인(Keychain) 데이터베이스에 접근해 자격 증명을 훔치고, 애플스크립트(AppleScript)를 이용해 사용자 몰래 시스템 설정을 조작한다. 또한 런치에이전트(LaunchAgents)를 통해 재부팅 후에도 끈질기게 살아남는 영속성을 확보한다.
가장 우려되는 점은 이 악성코드가 레저 라이브(Ledger Live)나 트레저 수트(Trezor Suite) 같은 가상자산 하드웨어 지갑 앱을 가짜 버전으로 교체하는 기능을 갖췄다는 것이다.
아직 이 기능이 전면 활성화되지는 않았으나, 이미 관련 코드가 완성돼 있어 언제든 대규모 자산 탈취로 이어질 수 있는 상황이다. 탈취된 모든 데이터는 임시 디렉터리에 압축돼 해커의 서버로 전송된다.
현재 Open VSX 마켓플레이스에서 △pro-svelte-extension △vsce-prettier-pro △full-access-catppuccin-pro-extension 등 3가지 프로그램이 글래스웜을 포함하고 있는 것으로 의심되고 있다. 이들은 모두 동일한 인프라와 암호화 키를 공유하고 있어 단일 공격자가 배후임을 나타낸다.
이에 맥 사용자들은 위에 언급된 프로그램 등 의심스러운 파일은 즉시 삭제하고, 공식 마켓플레이스가 아닌 곳에서 받은 프로그램 사용을 지양해야 한다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 맥(macOS) 사용자를 공격하는 자기 복제형 악성코드 ‘글래스웜(GlassWorm)’ 주의보가 내려졌다. 글래스웜은 Open VSX 마켓플레이스에 배포된 악성 VS Code 확장 기능을 통해 퍼지고 있으며, 이미 5만 건 이상의 다운로드가 이루어진 것으로 드러났다.
[자료: gettyimagesbank]
해외 보안매체 Cybersecurity News에 따르면 이 악성코드는 △암호화된 페이로드△ 하드웨어 지갑 트로이화 기능 △정교한 샌드박스 회피 기법 등을 갖추며 진화를 거듭하면서 기존 보안 스캐닝 도구를 손쉽게 우회할 수 있다.
‘글래스웜’ 공격자는 2025년 10월 이후 4차례에 걸쳐 진화하면서 매우 빠르게 적응하고 있다. 이전 공격 캠페인에서는 보이지 않는 유니코드 문자와 Rust로 컴파일된 바이너리를 사용해 악성코드를 숨겼다. 그러나 최신 버전은 한 단계 더 진화해 AES-256-CBC로 암호화된 JavaScript 페이로드를 사용하는 등 맥 환경에 특화된 공격 기법을 선택했다.
특히, 글래스웜은 대부분의 샌드박스 환경이 보통 5분 내에 종료된다는 점을 악용해 설치 후 정확히 15분이 지난 뒤에 악성 활동을 시작하는 치밀한 지연 실행 전술을 구사한다.
이 악성코드는 전통적인 도메인 차단을 피하기 위해 솔라나(Solana) 블록체인을 명령제어(C2) 인프라로 활용한다.
해커가 블록체인 트랜잭션 메모에 암호화된 URL을 남기면, 악성코드가 이를 확인해 다음 공격 명령을 수행하는 방식이라 추적과 차단이 거의 불가능하다.
침투에 성공하면 맥의 비밀번호 저장소인 키체인(Keychain) 데이터베이스에 접근해 자격 증명을 훔치고, 애플스크립트(AppleScript)를 이용해 사용자 몰래 시스템 설정을 조작한다. 또한 런치에이전트(LaunchAgents)를 통해 재부팅 후에도 끈질기게 살아남는 영속성을 확보한다.
가장 우려되는 점은 이 악성코드가 레저 라이브(Ledger Live)나 트레저 수트(Trezor Suite) 같은 가상자산 하드웨어 지갑 앱을 가짜 버전으로 교체하는 기능을 갖췄다는 것이다.
아직 이 기능이 전면 활성화되지는 않았으나, 이미 관련 코드가 완성돼 있어 언제든 대규모 자산 탈취로 이어질 수 있는 상황이다. 탈취된 모든 데이터는 임시 디렉터리에 압축돼 해커의 서버로 전송된다.
현재 Open VSX 마켓플레이스에서 △pro-svelte-extension △vsce-prettier-pro △full-access-catppuccin-pro-extension 등 3가지 프로그램이 글래스웜을 포함하고 있는 것으로 의심되고 있다. 이들은 모두 동일한 인프라와 암호화 키를 공유하고 있어 단일 공격자가 배후임을 나타낸다.
이에 맥 사용자들은 위에 언급된 프로그램 등 의심스러운 파일은 즉시 삭제하고, 공식 마켓플레이스가 아닌 곳에서 받은 프로그램 사용을 지양해야 한다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
