Slevová nabídka pro více licencí
Databáze hrozeb Malware Malware GlassWorm

Malware GlassWorm

V roce Mezo v roce Malware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Nová vlna malwarové kampaně GlassWorm aktivně cílí na dodavatelské řetězce softwaru a zneužívá ukradené tokeny GitHubu k vstřikování škodlivého kódu do stovek repozitářů. Tato operace se primárně zaměřuje na projekty založené na Pythonu, včetně aplikací Django, výzkumného kódu pro strojové učení, dashboardů Streamlit a balíčků PyPI.

Vektor útoku je zdánlivě jednoduchý, ale vysoce efektivní: k běžně spouštěným souborům, jako jsou setup.py, main.py a app.py, se připojuje zahalený malware. Každý vývojář, který instaluje závislosti pomocí pip install nebo spouští klonovaný kód z napadeného repozitáře, nevědomky aktivuje škodlivý obsah.

Tiché převzetí repozitářů: Technika ForceMemo

Tato evoluce kampaně, nyní označovaná jako ForceMemo, zavádí nenápadnou metodu kompromitace repozitářů. Útočníci získají přístup k účtům vývojářů a manipulují s repozitáři, aniž by zanechali konvenční stopy.

Přebazováním legitimních commitů škodlivým kódem a jejich vynuceným přesunutím do výchozí větve útočníci zachovávají původní metadata commitu, včetně zprávy, autora a časového razítka, čímž efektivně maskují narušení. Tento přístup eliminuje viditelné indikátory, jako jsou pull requesty nebo podezřelé historie commitů, což výrazně ztěžuje jejich detekci.

Řetězec provedení útoku: Od krádeže přihlašovacích údajů po doručení dat

Kampaň ForceMemo se řídí strukturovaným a vícestupňovým procesem narušení:

  • Vývojářská prostředí jsou zpočátku napadena škodlivým kódem Visual Studia a rozšířeními Cursor, která obsahují komponenty GlassWorm určené ke shromažďování citlivých přihlašovacích údajů, včetně tokenů GitHubu.
  • Ukradené přihlašovací údaje se poté použijí k vložení obfuskovaných datových částí kódovaných v Base64 do souborů Pythonu ve všech repozitářích přidružených k napadenému účtu.
  • Vložený malware provádí kontroly prostředí, zejména se vyhýbá spuštění na systémech konfigurovaných s ruskou lokalizací. Poté se dotazuje blockchainové peněženky Solana, aby dynamicky načetla URL adresu pro doručení dat.
  • Stahují se další datové části, včetně šifrovaného JavaScriptu určeného pro krádež kryptoměn a exfiltraci dat.

Velení a řízení založené na blockchainu: Odolná infrastruktura

Charakteristickým znakem této kampaně je její spoléhání se na blockchain Solana jakožto mechanismus Command-and-Control (C2). Místo tradičních serverů útočníci ukládají URL adresy dat v polích transakčních memorand vázaných na konkrétní adresy peněženek.

Analýza odhaluje, že aktivita spojená s primární peněženkou začala již 27. listopadu 2025, měsíce předtím, než byly pozorovány kompromitace repozitářů. Peněženka zpracovala desítky transakcí a umístění dat se často aktualizovala, někdy i několikrát denně. Tento decentralizovaný přístup zvyšuje odolnost a komplikuje úsilí o její odstranění.

Rozšíření útočné plochy: npm a infekce napříč ekosystémy

Kampaň se rozšířila za hranice ekosystémů Pythonu i do dodavatelských řetězců JavaScriptu. Dva balíčky React Native npm, react-native-international-phone-number (verze 0.11.8) a react-native-country-select (verze 0.3.91), byly dočasně napadeny a distribuovány s vloženým malwarem.

Tyto škodlivé verze zaváděly předinstalační hooky spouštějící obfusovaný JavaScript, který inicioval podobný infekční řetězec. Malware se opět vyhýbá ruským systémům, získává instrukce pro datové části prostřednictvím peněženky Solana a nasazuje hrozby specifické pro platformu.

Spouštění probíhá výhradně v paměti pomocí běhových technik, jako je eval() nebo sandboxing v Node.js, což zanechává minimální forenzní artefakty. Mechanismus perzistence navíc zabraňuje opětovné infekci v 48hodinovém okně tím, že lokálně ukládá časové razítko.

Pokročilé taktiky úniku a distribuce

Nedávné verze frakce GlassWorm demonstrují zvýšenou sofistikovanost v jejím doručování a maskování. Využíváním mechanismů extensionPack a extensionDependencies útočníci distribuují škodlivé datové zásilky tranzitivně prostřednictvím důvěryhodných ekosystémů rozšíření.

Dřívější kampaně spojené se stejným aktérem hrozby napadly přes 151 repozitářů GitHub pomocí neviditelných znaků Unicode ke skrytí škodlivého kódu. Navzdory různým strategiím obfuskace a doručování se všechny kampaně důsledně spoléhají na stejnou infrastrukturu založenou na platformě Solana, což potvrzuje jednotný operační rámec.

Škodlivá rozšíření IDE: Cílená na vývojářská prostředí

Kampaň také infiltrovala vývojářské nástroje prostřednictvím podvodného rozšíření identifikovaného jako reditorsupporter.r-vscode-2.8.8-universal, které cílí na vývojové prostředí Windsurf. Rozšíření, maskované jako plugin pro podporu jazyka R, nasazuje nástroj pro krádež informací založený na Node.js.

Po instalaci rozšíření načítá šifrované datové části z blockchainových transakcí, spouští je v paměti a nasazují kompilované komponenty pro extrakci citlivých dat z prohlížečů založených na Chromiu. Perzistence je dosažena pomocí naplánovaných úloh a úprav registru Windows, což zajišťuje spuštění při spuštění systému.

Malware cílí konkrétně na vývojářská prostředí a vylučuje ruské systémy, což odráží chování pozorované u jiných variant GlassWormu.

Ukazatele rozsahu a dopadu

Bezpečnostní analýza naznačuje, že kampaň ohrozila podstatnou část ekosystému open source a ovlivnila více než 433 projektů napříč různými platformami. Patří mezi ně repozitáře GitHub (Python a JavaScript), rozšíření VS Code a knihovny npm.

Všechny cesty infekce se nakonec sbíhají k nasazení programu pro krádež informací založeného na JavaScriptu, což zdůrazňuje konzistentní konečný cíl sběru přihlašovacích údajů a exfiltrace dat.

  • Více než 433 potvrzených kompromitovaných projektů a balíčků
  • Vícenásobné vektory doručování včetně rozšíření GitHub, npm a IDE
  • Konzistentní využívání blockchainové infrastruktury Solana pro doručování dat
  • Opakované vyloučení ruských systémů napříč všemi variantami

Strategické hodnocení: Nová éra útoků na dodavatelský řetězec

Kampaň ForceMemo představuje významnou eskalaci hrozeb v dodavatelském řetězci softwaru. Její kombinace nenápadné manipulace s historií Gitu, infrastruktury C2 založené na blockchainu a vektorů infekce napříč platformami demonstruje vysokou úroveň operační vyspělosti.

Opětovné použití infrastruktury spolu s vyvíjejícími se mechanismy doručování naznačuje adaptivního protivníka schopného škálovat útoky a zároveň si zachovat vytrvalost a vyhýbání se. Tento posun od izolovaných kompromitací ke koordinovaným, multiekosystémovým narušením podtrhuje rostoucí riziko, kterému čelí moderní vývojová prostředí a open-source komunity.

Trendy

E-mail automaticky resetuje heslo – podvod s e-maily

Phishing, Spam
Neočekávané e-maily, které vyžadují okamžitou akci, by měly vždy vzbudit podezření. Kyberzločinci často maskují phishingové kampaně jako naléhavá bezpečnostní upozornění, aby donutili příjemce k odpovědi bez ověření zdroje. Zpráva „E-mail se automaticky resetuje heslo“ je jedním z takových příkladů. Ačkoli se zdá, že pochází od legitimního poskytovatele e-mailových služeb, vyšetřování ukazuje,...

Ledger - Detekce podezřelé aktivity na DEX -...

Phishing, Spam
Neočekávané e-maily, které tvrdí naléhavé bezpečnostní problémy, by měly být vždy brány s opatrností. Kyberzločinci se často vydávají za známé značky, aby vyvolali paniku a donutili příjemce k rychlému jednání. Jedním z takových příkladů je tzv. e-mail s názvem „Ledger - Zjištěna podezřelá aktivita na DEX“. Přestože se zdá, že zprávy pocházejí od Ledgeru, nejsou spojeny s legitimním výrobcem...

Nejvíce shlédnuto

Načítání...