锁定集成开发环境（IDE）工具Visual Studio Code（VS Code）用户的蠕虫程序GlassWorm，约从10月下旬出现首波攻击，截至11月底已发生三波活动。时隔一个月，这些黑客再度活跃，且攻击目标出现变化。

安全公司Koi Security指出，具有自我传播能力的蠕虫GlassWorm近期出现第四波攻击。此次活动展现了黑客显著的技术演进：首先，攻击的操作系统目标从Windows全面转向macOS，相关恶意扩展程序pro-svelte-extension、vsce-prettier-pro以及full-access-catppuccin-pro-extension，迄今已被下载约5万次；其次，采用了专门针对Ledger与Trezor等硬件钱包应用的木马化技术。

该公司提到，黑客的攻击核心机制与以往活动相同，GlassWorm仍通过区块链平台Solana获取C2服务器信息并执行指令，但此次黑客将有效载荷嵌入经过编译的JavaScript脚本，并使用AES-256-CBC算法进行加密处理。值得注意的是，他们过去使用的特殊手法并未在本次活动中出现，例如：不可见的Unicode字符，或用Rust编写的二进制文件等。

为何黑客将目标转向macOS用户？原因在于加密货币、Web3及初创公司环境中，开发者常选择该平台开展工作。Koi Security强调，黑客并非简单移植Windows版GlassWorm，而是针对macOS系统采用了专有技术：例如使用AppleScript替代PowerShell来隐蔽执行指令；通过LaunchAgents取代Windows系统中的任务计划与注册表，实现持久化驻留；同时直接针对钥匙串（Keychain）进行攻击，窃取各类账户密码及凭证。

此外，GlassWorm还加入了延迟执行的反检测机制：攻击者下达执行命令后，会经过90万毫秒（15分钟）才启动，此举旨在规避大多数自动化沙箱检测机制（通常检测时长不超过5分钟）。

值得注意的是，新版GlassWorm不仅能窃取超过50种浏览器的加密货币钱包扩展程序及各类开发环境凭证，还试图替换硬件钱包应用。该恶意软件会检测电脑是否安装Ledger Live或Trezor Suite，并尝试下载被植入木马的版本进行替换。尽管目前攻击者似乎尚未完成恶意版本应用的制作，或正在转换基础设施，Koi Security测试发现，C2服务器返回的是空文件，无法通过GlassWorm的文件大小验证机制，但其他恶意功能均能正常运行。