Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό GlassWorm

Κακόβουλο λογισμικό GlassWorm

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Ένα νέο κύμα της καμπάνιας κακόβουλου λογισμικού GlassWorm στοχεύει ενεργά αλυσίδες εφοδιασμού λογισμικού, εκμεταλλευόμενος κλεμμένα tokens GitHub για την εισαγωγή κακόβουλου κώδικα σε εκατοντάδες αποθετήρια. Αυτή η επιχείρηση επικεντρώνεται κυρίως σε έργα που βασίζονται σε Python, συμπεριλαμβανομένων εφαρμογών Django, κώδικα έρευνας μηχανικής μάθησης, dashboards Streamlit και πακέτων PyPI.

Ο τρόπος επίθεσης είναι παραπλανητικά απλός αλλά εξαιρετικά αποτελεσματικός: το κρυμμένο κακόβουλο λογισμικό προσαρτάται σε αρχεία που εκτελούνται συχνά, όπως τα setup.py, main.py και app.py. Οποιοσδήποτε προγραμματιστής εγκαθιστά εξαρτήσεις μέσω της εγκατάστασης pip ή εκτελεί κλωνοποιημένο κώδικα από ένα παραβιασμένο αποθετήριο, ενεργοποιεί εν αγνοία του το κακόβουλο ωφέλιμο φορτίο.

Σιωπηλές Καταλήψεις Αποθετηρίου: Η Τεχνική ForceMemo

Αυτή η εξέλιξη της καμπάνιας, που τώρα αναφέρεται ως ForceMemo, εισάγει μια κρυφή μέθοδο παραβίασης αποθετηρίων. Οι απειλητικοί παράγοντες αποκτούν πρόσβαση σε λογαριασμούς προγραμματιστών και χειραγωγούν αποθετήρια χωρίς να αφήνουν συμβατικά ίχνη.

Αναδιαμορφώνοντας τις νόμιμες υποβολές με κακόβουλο κώδικα και αναγκάζοντάς τες να τις προωθήσουν στον προεπιλεγμένο κλάδο, οι εισβολείς διατηρούν τα αρχικά μεταδεδομένα υποβολής, συμπεριλαμβανομένου του μηνύματος, του συντάκτη και της χρονικής σήμανσης, αποκρύπτοντας αποτελεσματικά την εισβολή. Αυτή η προσέγγιση εξαλείφει ορατούς δείκτες όπως αιτήματα έλξης ή ύποπτα ιστορικά υποβολών, καθιστώντας την ανίχνευση σημαντικά πιο δύσκολη.

Αλυσίδα Εκτέλεσης Επίθεσης: Από την Κλοπή Διαπιστευτηρίων έως την Παράδοση Φορτίου

Η καμπάνια ForceMemo ακολουθεί μια δομημένη και πολυσταδιακή διαδικασία εισβολής:

  • Τα περιβάλλοντα προγραμματιστών αρχικά παραβιάζονται μέσω κακόβουλου κώδικα Visual Studio και επεκτάσεων Cursor που φέρουν στοιχεία GlassWorm σχεδιασμένα για τη συλλογή ευαίσθητων διαπιστευτηρίων, συμπεριλαμβανομένων των διακριτικών GitHub.
  • Τα κλεμμένα διαπιστευτήρια χρησιμοποιούνται στη συνέχεια για την εισαγωγή κρυμμένων φορτίων με κωδικοποίηση Base64 σε αρχεία Python σε όλα τα αποθετήρια που σχετίζονται με τον παραβιασμένο λογαριασμό.
  • Το ενσωματωμένο κακόβουλο λογισμικό εκτελεί ελέγχους περιβάλλοντος, αποφεύγοντας κυρίως την εκτέλεση σε συστήματα που έχουν ρυθμιστεί με ρωσική τοπική ρύθμιση. Στη συνέχεια, υποβάλλει ερώτημα σε ένα πορτοφόλι blockchain Solana για να ανακτήσει δυναμικά τη διεύθυνση URL παράδοσης ωφέλιμου φορτίου.
  • Γίνεται λήψη πρόσθετων ωφέλιμων φορτίων, συμπεριλαμβανομένου κρυπτογραφημένου JavaScript που έχει σχεδιαστεί για κλοπή κρυπτονομισμάτων και εξαγωγή δεδομένων.

Διοίκηση και Έλεγχος που Βασίζεται σε Blockchain: Μια Ανθεκτική Υποδομή

Ένα καθοριστικό χαρακτηριστικό αυτής της καμπάνιας είναι η εξάρτησή της από το blockchain Solana ως μηχανισμό Command-and-Control (C2). Αντί για τους παραδοσιακούς διακομιστές, οι εισβολείς αποθηκεύουν URL ωφέλιμου φορτίου σε πεδία memo συναλλαγών που συνδέονται με συγκεκριμένες διευθύνσεις πορτοφολιών.

Η ανάλυση αποκαλύπτει ότι η δραστηριότητα που συνδέεται με το κύριο πορτοφόλι ξεκίνησε ήδη από τις 27 Νοεμβρίου 2025, μήνες πριν παρατηρηθούν παραβιάσεις του αποθετηρίου. Το πορτοφόλι έχει επεξεργαστεί δεκάδες συναλλαγές, με τις θέσεις ωφέλιμου φορτίου να ενημερώνονται συχνά, μερικές φορές πολλές φορές την ημέρα. Αυτή η αποκεντρωμένη προσέγγιση ενισχύει την ανθεκτικότητα και περιπλέκει τις προσπάθειες εξάλειψης.

Επέκταση της επιφάνειας επίθεσης: npm και διασυστημικές λοιμώξεις

Η καμπάνια έχει επεκταθεί πέρα από τα οικοσυστήματα Python, στις αλυσίδες εφοδιασμού JavaScript. Δύο πακέτα npm του React Native, το react-native-international-phone-number (έκδοση 0.11.8) και το react-native-country-select (έκδοση 0.3.91), παραβιάστηκαν προσωρινά και διανεμήθηκαν με ενσωματωμένο κακόβουλο λογισμικό.

Αυτές οι κακόβουλες εκδόσεις εισήγαγαν hooks προεγκατάστασης που εκτελούν ασαφή JavaScript, τα οποία ξεκινούν μια παρόμοια αλυσίδα μόλυνσης. Το κακόβουλο λογισμικό αποφεύγει και πάλι τα ρωσικά συστήματα, ανακτά οδηγίες ωφέλιμου φορτίου μέσω ενός πορτοφολιού Solana και αναπτύσσει απειλές για συγκεκριμένες πλατφόρμες.

Η εκτέλεση πραγματοποιείται εξ ολοκλήρου στη μνήμη χρησιμοποιώντας τεχνικές χρόνου εκτέλεσης όπως το eval() ή το sandboxing Node.js, αφήνοντας ελάχιστα εγκληματολογικά τεχνουργήματα. Επιπλέον, ένας μηχανισμός persistence αποτρέπει την επαναμόλυνση εντός ενός παραθύρου 48 ωρών αποθηκεύοντας μια χρονική σήμανση τοπικά.

Προηγμένες Τακτικές Διαφυγής και Διανομής

Οι πρόσφατες εκδόσεις του GlassWorm καταδεικνύουν αυξημένη πολυπλοκότητα στην παράδοση και την απόκρυψη. Αξιοποιώντας τους μηχανισμούς extensionPack και extensionDependencies, οι εισβολείς διανέμουν κακόβουλα ωφέλιμα φορτία μεταβατικά μέσω αξιόπιστων οικοσυστημάτων επεκτάσεων.

Προηγούμενες καμπάνιες που συνδέονταν με τον ίδιο απειλητικό παράγοντα έθεσε σε κίνδυνο πάνω από 151 αποθετήρια GitHub χρησιμοποιώντας αόρατους χαρακτήρες Unicode για την απόκρυψη κακόβουλου κώδικα. Παρά τις ποικίλες στρατηγικές απόκρυψης και παράδοσης, όλες οι καμπάνιες βασίζονται σταθερά στην ίδια υποδομή που βασίζεται στο Solana, επιβεβαιώνοντας ένα ενοποιημένο λειτουργικό πλαίσιο.

Κακόβουλες επεκτάσεις IDE: Στόχευση περιβαλλόντων προγραμματιστών

Η καμπάνια έχει επίσης διεισδύσει σε εργαλεία ανάπτυξης μέσω μιας αθέμιτης επέκτασης που αναγνωρίζεται ως reditorsupporter.r-vscode-2.8.8-universal, στοχεύοντας το Windsurf IDE. Μεταμφιεσμένο ως πρόσθετο υποστήριξης γλώσσας R, αναπτύσσει ένα πρόγραμμα κλοπής πληροφοριών που βασίζεται στο Node.js.

Μόλις εγκατασταθεί, η επέκταση ανακτά κρυπτογραφημένα ωφέλιμα φορτία από συναλλαγές blockchain, τα εκτελεί στη μνήμη και αναπτύσσει μεταγλωττισμένα στοιχεία για την εξαγωγή ευαίσθητων δεδομένων από προγράμματα περιήγησης που βασίζονται στο Chromium. Η επιμονή επιτυγχάνεται μέσω προγραμματισμένων εργασιών και τροποποιήσεων στο Μητρώο των Windows, διασφαλίζοντας την εκτέλεση κατά την εκκίνηση του συστήματος.

Το κακόβουλο λογισμικό στοχεύει συγκεκριμένα σε περιβάλλοντα προγραμματιστών, εξαιρώντας τα ρωσικά συστήματα, αντικατοπτρίζοντας τη συμπεριφορά που παρατηρείται σε άλλες παραλλαγές του GlassWorm.

Δείκτες Κλίμακας και Αντίκτυπος

Η ανάλυση ασφάλειας δείχνει ότι η καμπάνια έχει θέσει σε κίνδυνο ένα σημαντικό μέρος του οικοσυστήματος ανοιχτού κώδικα, επηρεάζοντας περισσότερα από 433 έργα σε πολλαπλές πλατφόρμες. Αυτά περιλαμβάνουν αποθετήρια GitHub (Python και JavaScript), επεκτάσεις VS Code και βιβλιοθήκες npm.

Όλες οι διαδρομές μόλυνσης συγκλίνουν τελικά στην ανάπτυξη ενός συστήματος κλοπής πληροφοριών που βασίζεται σε JavaScript, υπογραμμίζοντας έναν συνεπή τελικό στόχο της συλλογής διαπιστευτηρίων και της εξαγωγής δεδομένων.

  • Πάνω από 433 επιβεβαιωμένα παραβιασμένα έργα και πακέτα
  • Πολλαπλά διανύσματα παράδοσης, συμπεριλαμβανομένων των επεκτάσεων GitHub, npm και IDE
  • Συνεπής χρήση της υποδομής blockchain Solana για την παράδοση ωφέλιμου φορτίου
  • Επαναλαμβανόμενος αποκλεισμός ρωσικών συστημάτων σε όλες τις παραλλαγές

Στρατηγική Αξιολόγηση: Μια Νέα Εποχή Επιθέσεων στην Εφοδιαστική Αλυσίδα

Η καμπάνια ForceMemo αντιπροσωπεύει μια σημαντική κλιμάκωση των απειλών στην αλυσίδα εφοδιασμού λογισμικού. Ο συνδυασμός της κρυφής χειραγώγησης ιστορικού Git, της υποδομής C2 που βασίζεται σε blockchain και των φορέων μόλυνσης σε διάφορες πλατφόρμες καταδεικνύει υψηλό επίπεδο λειτουργικής ωριμότητας.

Η επαναχρησιμοποίηση υποδομών παράλληλα με τους εξελισσόμενους μηχανισμούς παράδοσης υποδηλώνει έναν προσαρμοστικό αντίπαλο ικανό να κλιμακώνει τις επιθέσεις διατηρώντας παράλληλα την επιμονή και την αποφυγή. Αυτή η μετατόπιση από μεμονωμένους συμβιβασμούς σε συντονισμένες, πολυοικοσυστημικές εισβολές υπογραμμίζει τον αυξανόμενο κίνδυνο που αντιμετωπίζουν τα σύγχρονα περιβάλλοντα ανάπτυξης και οι κοινότητες ανοιχτού κώδικα.

Τάσεις

Το email θα επαναφέρει αυτόματα τον κωδικό πρόσβασης...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα μη αναμενόμενα email που απαιτούν άμεση δράση θα πρέπει πάντα να εγείρουν υποψίες. Οι κυβερνοεγκληματίες συχνά μεταμφιέζουν τις καμπάνιες ηλεκτρονικού "ψαρέματος" (phishing) ως επείγουσες ειδοποιήσεις ασφαλείας για να πιέσουν τους παραλήπτες να απαντήσουν χωρίς να επαληθεύσουν την πηγή. Το μήνυμα "Το email θα επαναφέρει αυτόματα τον κωδικό πρόσβασης" είναι ένα τέτοιο παράδειγμα. Παρόλο που...

Ledger - Εντοπίστηκε ύποπτη δραστηριότητα DEX -...

Phishing, Ανεπιθύμητη αλληλογραφία
Τα μη αναμενόμενα email που ισχυρίζονται επείγοντα ζητήματα ασφαλείας θα πρέπει πάντα να αντιμετωπίζονται με προσοχή. Οι κυβερνοεγκληματίες συχνά μιμούνται γνωστές μάρκες προκειμένου να προκαλέσουν πανικό και να πιέσουν τους παραλήπτες να ενεργήσουν γρήγορα. Το λεγόμενο email «Ledger - Εντοπίστηκε ύποπτη δραστηριότητα DEX» είναι ένα τέτοιο παράδειγμα. Παρά το γεγονός ότι φαίνεται να προέρχονται...

Περισσότερες εμφανίσεις

Φόρτωση...