GlassWorm adalah sebuah kampanye malware berbahaya yang secara spesifik menyasar para developer melalui ekstensi VSCode dan OpenVSX yang telah dimodifikasi dengan trojan. Singkatnya, GlassWorm ini merupakan operasi serangan siber yang menyusupkan kode jahat ke dalam alat produktivitas sehari-hari kalian, yang bertujuan untuk mencuri kredensial akun penting serta aset mata uang kripto.
Kampanye GlassWorm ini sekarang sudah memasuki gelombang keempat dan sepertinya mereka makin agresif mengincar pengguna macOS. Kalau biasanya serangan kayak gini fokus ke Windows, kali ini mereka benar-benar niat memodifikasi serangan supaya bisa berjalan mulus di ekosistem Apple. Mereka memanfaatkan marketplace seperti Microsoft Visual Studio Marketplace dan OpenVSX. Buat kalian yang belum tahu, marketplace Microsoft itu toko resmi buat VS Code, sedangkan OpenVSX itu alternatif terbuka yang biasanya dipakai sama editor yang nggak mau ketergantungan sama ekosistem milik Microsoft.
Secara teknis, GlassWorm ini pinter banget menyembunyikan diri. Di awal kemunculannya sekitar Oktober lalu, mereka pakai karakter Unicode “invisible” supaya nggak deteksi. Terus mereka sempat pakai binary bahasa Rust, dan yang paling baru, mereka pakai muatan (payload) yang dienkripsi dengan AES-256-CBC yang ditanam di dalam kode JavaScript pada ekstensi OpenVSX. Beberapa ekstensi yang sudah teridentifikasi bahaya itu namanya studio-velte-distributor.pro-svelte-extension, cudra-production.vsce-prettier-pro, dan Puccin-development.full-access-catppuccin-pro-extension. Kayaknya, nama-namanya dibuat mirip banget sama alat populer supaya kalian nggak curiga.
Malware ini punya logika eksekusi yang agak unik karena dia bakal diam dulu selama 15 menit setelah instalasi. Tujuannya kira-kiranya buat menghindari analisis di lingkungan sandbox atau mesin virtual yang biasanya cuma ngecek aplikasi dalam waktu singkat. Setelah aktif, dia nggak pakai PowerShell kayak di Windows, tapi beralih pakai AppleScript dan memanfaatkan LaunchAgents buat memastikan dia tetap bisa jalan terus di sistem kalian (persistence). Yang bikin ngeri, GlassWorm ini bisa mencuri Keychain passwords di macOS, token NPM, kredensial GitHub, sampai data dari 50 lebih ekstensi browser dompet kripto.
Nggak berhenti di situ, GlassWorm sekarang punya kemampuan buat ngecek apakah di komputer kalian ada aplikasi dompet hardware kayak Ledger Live atau Trezor Suite. Kalau ketemu, dia bakal mencoba mengganti aplikasi asli tersebut dengan versi trojan yang sudah dimodifikasi. Meski kabarnya fitur penggantian ini sempat gagal karena filenya kosong, tapi ini menunjukkan kalau si penyerang lagi mempersiapkan infrastruktur yang lebih matang buat menguras aset kalian. Mereka juga menggunakan blockchain Solana sebagai mekanisme Command-and-Control (C2), jadi komunikasinya sulit banget dilacak secara konvensional.
Kalau kalian merasa sempat menginstal ekstensi-ekstensi yang disebutkan tadi, sebaiknya segera lakukan langkah-langkah mitigasi berikut ini:
- Hapus Ekstensi Bermasalah Secara Permanen
Segera buka VS Code kalian dan hapus semua ekstensi yang mencurigakan, terutama yang berasal dari publisher nggak terverifikasi. Jangan cuma di-disable, tapi beneran di-uninstall total dari sistem. - Reset Semua Password dan Token Akses
Kalian wajib ganti password GitHub dan segera cabut (revoke) semua token NPM yang ada. Karena malware ini fokus nyolong kredensial developer, akses ke repository kalian bisa jadi pintu masuk buat serangan yang lebih luas ke perusahaan atau project kalian. - Audit Keychain dan Browser Data
Cek aktivitas mencurigakan di Keychain Access macOS kalian. Sebaiknya ganti password akun-akun penting yang tersimpan di browser karena ada kemungkinan datanya sudah dikirim ke server pelaku melalui proxy SOCKS yang mereka tanam. - Install Ulang Sistem Jika Perlu
Karena malware ini menanamkan diri di LaunchAgents, rasanya agak sulit buat memastikan sistem beneran bersih 100% cuma dengan hapus ekstensi. Kalau kalian pegang aset kripto dalam jumlah besar, pilihan paling aman kuranglebihnya adalah melakukan clean install OS.
Melihat perkembangan GlassWorm yang terus bermutasi, kita sebagai developer nggak boleh sebegitu percaya sama ekstensi yang ada di marketplace, meskipun jumlah download-nya terlihat banyak. Angka download itu seringkali dimanipulasi supaya kelihatan terpercaya padahal isinya zonk. Selalu cek kredibilitas publisher sebelum klik tombol install. Tetap waspada dalam mengelola lingkungan kerja digital kalian, karena satu celah kecil di tools yang kita anggap sepele bisa berakibat fatal buat keamanan data pribadi maupun aset digital yang kita miliki. Terima kasih sudah menyimak ulasan ini, rekan-rekanita.