Осторожно: даже доверенные расширения для Mac могут скрывать угрозу
Многие пользователи Mac считают свою систему более безопасной, особенно если они загружают приложения только из официальных магазинов и используют проверенные инструменты. Однако именно эта уверенность зачастую становится целью для злоумышленников. Современные исследователи безопасности обнаружили новую волну вредоносных расширений для Mac, которые не только следят за действиями пользователя, но и крадут данные криптовалютных кошельков, пароли и даже сохраненные в системе ключи безопасности.
Где скрывается опасность
Особенность этой угрозы в том, что вредоносное ПО было обнаружено внутри легитимных платформ распространения расширений, которые большинство пользователей считают безопасными. Например, такие расширения появились как на официальных маркетплейсах для разработчиков, так и на альтернативных площадках, популярных среди программистов и продвинутых пользователей.
Как выглядят вредоносные расширения и чем они опасны
На первый взгляд, такие расширения выглядят совершенно безобидными. Они обещают полезные функции, такие как автоматическое форматирование кода, смена тем оформления или дополнительные инструменты для повышения продуктивности. После установки они начинают тихо выполнять скрытые malicious-коды. Ранние версии GlassWorm использовали скрытые текстовые трюки для маскировки, а новые версии шифруют вредоносный код и задерживают его запуск, что затрудняет автоматические системы обнаружения угроз.
Почему это важно для всех пользователей Mac
Несмотря на то, что эта атака ориентирована на разработчиков и тех, кто использует кодовые редакторы, опасность касается и обычных пользователей. Если вы используете Mac, устанавливаете расширения или храните пароли и криптовалюту на своем устройстве, эта угроза не обойдет вас стороной.
Что делает вредоносный софт после проникновения
После активации GlassWorm начинает целенаправленно собирать самые чувствительные данные. Он пытается украсть учетные данные с платформ, таких как GitHub и npm, а также получает доступ к браузерным криптовалютным кошелькам и системе macOS Keychain, где хранятся пароли и секретные ключи.
Дополнительно, вредоносное ПО проверяет наличие приложений для хранения криптовалютных ключей, таких как Ledger Live или Trezor Suite. Если они обнаружены, оно пытается заменить их на модифицированные версии, предназначенные для похищения криптовалюты. В данный момент эта функция находится в стадии тестирования, но сама возможность уже внедрена.
Механизмы скрытности и автоматического запуска
Для сохранения доступа злоумышленники настраивают свои вредоносные компоненты так, чтобы они запускались автоматически после перезагрузки системы. Также вредоносное ПО может предоставлять удаленный доступ к вашему Mac и перенаправлять интернет-трафик, делая ваше устройство частью скрытого канала передачи данных.
Обман с популярностью расширений
Некоторые расширения собирают сотни тысяч загрузок, создавая иллюзию доверия и популярности. Несмотря на возможность манипуляций с показателями, такие цифры усиливают вероятность их установки пользователями, которые не подозревают о скрытой угрозе.
Как защититься от вредоносных расширений
- Удаляйте расширения, которые не используете. Чем меньше установленных дополнений, тем ниже риск.
- Будьте осторожны с предложениями о бесплатных премиум-функциях или улучшениях. Обычно такие обещания — это уловки мошенников.
- Проверяйте разработчика расширения. Надежные создатели обычно имеют официальный сайт, документацию и историю обновлений. Новые или сомнительные источники должны вызывать подозрение.
- Используйте менеджеры паролей. Они хранят ваши учетные данные в зашифрованном виде вне браузера или редактора, что значительно повышает безопасность.
- Проверяйте, не были ли ваши данные скомпрометированы в прошлых утечках. Многие менеджеры паролей предлагают встроенные сканеры взломанных аккаунтов.
Дополнительные меры защиты
Обязательно включайте двухфакторную аутентификацию (2FA) на всех возможных аккаунтах и платформах, особенно связанных с электронной почтой, облачными сервисами, криптовалютами и платформами разработчиков. Также рекомендуется включить автоматические обновления системы и приложений для закрытия уязвимостей, используемых вредоносным ПО.
Почему даже официальные магазины не гарантируют безопасность
Грамотное malware может скрываться внутри инструментов, которым вы доверяете. Поэтому регулярная проверка установленных расширений и бдительность — залог вашей защиты. В случае подозрений лучше сразу удалять сомнительные компоненты и использовать продвинутые антивирусные решения.
Когда в последний раз вы проверяли список расширений на своем Mac? Поделитесь своим опытом или задайте вопросы специалистам, написав нам.
Артем Мельник
Артем — эксперт по ИТ и новым технологиям, освещает стартапы, кибербезопасность и разработки украинских программистов. Ранее работал в сфере разработки ПО.