Зловреден софтуер GlassWorm
Нова вълна от зловредната кампания GlassWorm активно е насочена към веригите за доставки на софтуер, като използва откраднати GitHub токени, за да инжектира злонамерен код в стотици хранилища. Тази операция се фокусира предимно върху проекти, базирани на Python, включително приложения за Django, изследователски код за машинно обучение, табла за управление на Streamlit и PyPI пакети.
Векторът на атаката е измамно прост, но изключително ефективен: към често изпълнявани файлове като setup.py, main.py и app.py се добавя обфускиран зловреден софтуер. Всеки разработчик, който инсталира зависимости чрез pip install или изпълнява клониран код от компрометирано хранилище, несъзнателно активира злонамерения полезен товар.
Съдържание
Безшумни поглъщания на хранилища: Техниката ForceMemo
Тази еволюция на кампанията, сега известна като ForceMemo, въвежда скрит метод за компрометиране на хранилища. Злоумишлениците получават достъп до акаунти на разработчици и манипулират хранилищата, без да оставят конвенционални следи.
Чрез пребазиране на легитимни комити със злонамерен код и принудителното им преместване в клона по подразбиране, атакуващите запазват оригиналните метаданни на комита, включително съобщение, автор и времева маркировка, като ефективно маскират проникването. Този подход елиминира видими индикатори като pull requests или подозрителни истории на комити, което прави откриването значително по-трудно.
Верига за изпълнение на атаки: от кражба на идентификационни данни до доставка на полезен товар
Кампанията ForceMemo следва структуриран и многоетапен процес на проникване:
- Средите за разработчици първоначално са компрометирани чрез злонамерени разширения на Visual Studio Code и Cursor, съдържащи компоненти на GlassWorm, предназначени за събиране на чувствителни идентификационни данни, включително GitHub токени.
- Откраднатите идентификационни данни след това се използват за инжектиране на обфусирани Base64-кодирани полезни товари в Python файлове във всички хранилища, свързани с компрометирания акаунт.
- Вграденият зловреден софтуер извършва проверки на средата, като по-специално избягва изпълнението на системи, конфигурирани с руски локал. След това той отправя запитване към блокчейн портфейл на Solana, за да извлече динамично URL адреса за доставка на полезния товар.
- Изтеглят се допълнителни полезни товари, включително криптиран JavaScript, предназначен за кражба на криптовалута и извличане на данни.
Блокчейн-базирано командване и контрол: Устойчива инфраструктура
Определяща характеристика на тази кампания е нейната зависимост от блокчейна Solana като механизъм за командване и контрол (C2). Вместо традиционни сървъри, атакуващите съхраняват URL адреси на полезния товар в полета за транзакционни бележки, обвързани с конкретни адреси на портфейли.
Анализът разкрива, че активността, свързана с основния портфейл, е започнала още на 27 ноември 2025 г., месеци преди да бъдат наблюдавани компромиси с хранилищата. Портфейлът е обработил десетки транзакции, като местоположенията на полезния товар са се актуализирали често, понякога по няколко пъти на ден. Този децентрализиран подход повишава устойчивостта и усложнява усилията за премахване.
Разширяване на повърхността на атаката: npm и междуекосистемни инфекции
Кампанията се разпростря отвъд екосистемите на Python и обхвана веригите за доставки на JavaScript. Два npm пакета на React Native, react-native-international-phone-number (версия 0.11.8) и react-native-country-select (версия 0.3.91), бяха временно компрометирани и разпространени с вграден зловреден софтуер.
Тези злонамерени версии въведоха предварително инсталирани куки, изпълняващи обфуциран JavaScript, който инициира подобна верига от инфекции. Злонамереният софтуер отново избягва руските системи, извлича инструкции за полезен товар чрез портфейл Solana и внедрява специфични за платформата заплахи.
Изпълнението се извършва изцяло в паметта, използвайки техники по време на изпълнение, като например eval() или Node.js sandboxing, оставяйки минимални криминалистични артефакти. Освен това, механизъм за персистентност предотвратява повторно заразяване в рамките на 48-часов прозорец, като съхранява локално времеви печат.
Усъвършенствани тактики за избягване и разпространение
Последните версии на GlassWorm демонстрират повишена сложност в доставянето и скриването. Чрез използване на механизмите extensionPack и extensionDependencies, атакуващите разпространяват злонамерени полезни товари транзитивно чрез надеждни екосистеми от разширения.
По-ранни кампании, свързани със същия злонамерен участник, компрометираха над 151 GitHub хранилища, използвайки невидими Unicode символи, за да скрият злонамерен код. Въпреки различните стратегии за обфускация и доставка, всички кампании последователно разчитат на една и съща инфраструктура, базирана на Solana, което потвърждава унифицирана оперативна рамка.
Злонамерени разширения на IDE: Насочени към среди за разработчици
Кампанията е проникнала и в инструменти за разработка чрез злонамерено разширение, идентифицирано като reditorsupporter.r-vscode-2.8.8-universal, насочено към Windsurf IDE. Маскирано като плъгин за поддръжка на езика R, то внедрява програма за кражба на информация, базирана на Node.js.
След като бъде инсталирано, разширението извлича криптирани полезни товари от блокчейн транзакции, изпълнява ги в паметта и разполага компилирани компоненти за извличане на чувствителни данни от браузъри, базирани на Chromium. Устойчивостта се постига чрез планирани задачи и модификации в системния регистър на Windows, осигурявайки изпълнение при стартиране на системата.
Зловредният софтуер е насочен специално към разработчици, като изключва руските системи, отразявайки поведение, наблюдавано при други варианти на GlassWorm.
Показатели за мащаб и въздействие
Анализът на сигурността показва, че кампанията е компрометирала значителна част от екосистемата с отворен код, засягайки повече от 433 проекта на множество платформи. Те включват хранилища на GitHub (Python и JavaScript), разширения на VS Code и npm библиотеки.
Всички пътища на заразяване в крайна сметка се свеждат до внедряването на JavaScript-базиран крадец на информация, което подчертава последователната крайна цел за събиране на идентификационни данни и извличане на данни.
- Над 433 потвърдени компрометирани проекта и пакета
- Множество вектори за доставка, включително разширения за GitHub, npm и IDE
- Последователно използване на блокчейн инфраструктурата на Solana за доставка на полезен товар.
- Многократно изключване на руски системи във всички варианти
Стратегическа оценка: Нова ера на атаки срещу веригата за доставки
Кампанията ForceMemo представлява значителна ескалация на заплахите за веригата за доставки на софтуер. Комбинацията от скрита манипулация на историята на Git, базирана на блокчейн C2 инфраструктура и междуплатформени вектори за заразяване демонстрира високо ниво на оперативна зрялост.
Повторното използване на инфраструктура, наред с развиващите се механизми за доставка, показва адаптивен противник, способен да мащабира атаките, като същевременно поддържа постоянство и избягване. Тази промяна от изолирани компромиси към координирани, мултиекосистемни прониквания подчертава нарастващия риск, пред който са изправени съвременните среди за разработка и общностите с отворен код.
