Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Pahavara GlassWormi pahavara

GlassWormi pahavara

Aastaks Mezo aastal Pahavara, Täiustatud püsiv oht (APT)
Tõlgi:

GlassWormi pahavarakampaania uus laine sihib aktiivselt tarkvara tarneahelaid, kasutades ära varastatud GitHubi märke, et süstida pahatahtlikku koodi sadadesse repositooriumitesse. See operatsioon keskendub peamiselt Pythonil põhinevatele projektidele, sealhulgas Django rakendustele, masinõppe uurimiskoodile, Streamliti armatuurlaudadele ja PyPI pakettidele.

Rünnakuvektor on petlikult lihtne, kuid samas väga tõhus: hägustatud pahavara lisatakse sageli käivitatavatele failidele, näiteks setup.py, main.py ja app.py. Iga arendaja, kes installib sõltuvusi pip-installi kaudu või käivitab kloonitud koodi ohustatud repositooriumist, aktiveerib teadmatult pahatahtliku koormuse.

Vaiksed hoidla ülevõtmised: ForceMemo tehnika

See kampaania edasiarendus, mida nüüd nimetatakse ForceMemoks, tutvustab salajast meetodit repositooriumide kahjustamiseks. Ohutegurid saavad juurdepääsu arendajate kontodele ja manipuleerivad repositooriumidega ilma tavapäraseid jälgi jätmata.

Õiguslike muudatuste ümberbaasimine pahatahtliku koodiga ja nende sunniviisiline suunamine vaikeharusse säilitavad ründajad algsed muudatuste metaandmed, sealhulgas sõnumi, autori ja ajatempli, varjates sissetungi tõhusalt. See lähenemisviis kõrvaldab nähtavad indikaatorid, näiteks pull requestid või kahtlased muudatuste ajalugu, muutes tuvastamise oluliselt raskemaks.

Rünnaku teostamise ahel: volituste vargusest kasuliku lasti kohaletoimetamiseni

ForceMemo kampaania järgib struktureeritud ja mitmeastmelist sissetungiprotsessi:

  • Arendajakeskkondi ohustavad esialgu pahatahtlikud Visual Studio koodi ja kursorilaiendused, mis sisaldavad tundlike volituste, sealhulgas GitHubi tokenite kogumiseks loodud GlassWormi komponente.
  • Varastatud volitusi kasutatakse seejärel hägustatud Base64-kodeeringuga kasulike koormuste süstimiseks Pythoni failidesse kõigis ohustatud kontoga seotud repositooriumides.
  • Sisseehitatud pahavara teostab keskkonnakontrolle, vältides eelkõige käivitamist süsteemides, mis on konfigureeritud vene lokaadiga. Seejärel esitab see päringu Solana plokiahela rahakotile, et dünaamiliselt hankida kasuliku teabe kohaletoimetamise URL.
  • Laaditakse alla täiendavaid kasulikke koormusi, sealhulgas krüptitud JavaScripti, mis on loodud krüptovaluuta varguse ja andmete väljaviimise jaoks.

Plokiahelal põhinev juhtimine ja kontroll: vastupidav infrastruktuur

Selle kampaania iseloomulikuks tunnuseks on Solana plokiahela kasutamine juhtimis- ja kontrollimehhanismina. Traditsiooniliste serverite asemel salvestavad ründajad kasuliku teabe URL-e tehingute memoväljadesse, mis on seotud konkreetsete rahakoti aadressidega.

Analüüs näitab, et peamise rahakotiga seotud tegevus algas juba 27. novembril 2025, kuid enne hoidlate ohtu sattumist. Rahakott on töödelnud kümneid tehinguid, kusjuures andmeid uuendatakse sageli, mõnikord mitu korda päevas. See detsentraliseeritud lähenemisviis suurendab vastupidavust ja muudab eemaldamispüüdlused keerulisemaks.

Rünnakupinna laiendamine: npm ja ökosüsteemideülesed nakkused

Kampaania on laienenud Pythoni ökosüsteemidest JavaScripti tarneahelatesse. Kaks React Native'i npm-paketti, react-native-international-phone-number (versioon 0.11.8) ja react-native-country-select (versioon 0.3.91), sattusid ajutiselt ohtu ja levisid koos manustatud pahavaraga.

Need pahatahtlikud versioonid sisaldasid eelinstallitud konksusid, mis käivitasid hägustatud JavaScripti ja käivitasid sarnase nakkusahela. Pahavara väldib taas Venemaa süsteeme, hangib kasuliku teabe juhiseid Solana rahakoti kaudu ja juurutab platvormispetsiifilisi ohte.

Täitmine toimub täielikult mälus, kasutades käitusaja tehnikaid nagu eval() või Node.js liivakastiefekt, jättes minimaalselt kohtuekspertiisi artefakte. Lisaks hoiab püsivusmehhanism ära uuesti nakatumise 48-tunnise akna jooksul, salvestades ajatempli lokaalselt.

Täiustatud põgenemis- ja levitamistaktika

GlassWormi hiljutised versioonid näitavad üles suuremat keerukust nii levitamises kui ka varjamises. Kasutades extensionPacki ja extensionDependencies mehhanisme, levitavad ründajad pahatahtlikke andmeid transiidina usaldusväärsete laiendusökosüsteemide kaudu.

Varasemad sama ohu tegijaga seotud kampaaniad rikkusid üle 151 GitHubi repositooriumi, kasutades pahatahtliku koodi peitmiseks nähtamatuid Unicode'i märke. Vaatamata erinevatele hägustamis- ja edastusstrateegiatele tuginevad kõik kampaaniad järjepidevalt samale Solana-põhisele infrastruktuurile, mis kinnitab ühtset operatiivraamistikku.

Pahatahtlikud IDE-laiendused: sihikule võtmise arendajakeskkondades

Kampaania on imbunud ka arendustööriistadesse pahavaralise laienduse kaudu, mis on identifitseeritud kui reditorsupporter.r-vscode-2.8.8-universal ja mille sihtmärgiks on Windsurfi IDE. R-keele tugipistikprogrammina maskeerituna kasutab see Node.js-põhist infovarast.

Pärast installimist hangib laiendus plokiahela tehingutest krüptitud andmeid, käivitab need mälus ja juurutab kompileeritud komponente tundlike andmete ekstraheerimiseks Chromiumi-põhistest brauseritest. Püsivus saavutatakse ajastatud ülesannete ja Windowsi registri muudatuste abil, tagades käivitamise süsteemi käivitamisel.

Pahavara on suunatud spetsiaalselt arendajakeskkondadele, jättes välja Venemaa süsteemid, peegeldades käitumist, mida on täheldatud ka teiste GlassWormi variantide puhul.

Ulatus- ja mõjunäitajad

Turvaanalüüs näitab, et kampaania on kahjustanud avatud lähtekoodiga ökosüsteemi olulist osa, mõjutades enam kui 433 projekti mitmel platvormil. Nende hulka kuuluvad GitHubi repositooriumid (Python ja JavaScript), VS Code'i laiendused ja npm-teegid.

Kõik nakatumisteed koonduvad lõpuks JavaScripti-põhise infovarastaja juurutamise ümber, mis rõhutab järjepidevat lõppeesmärki – volituste kogumist ja andmete väljaviimist.

  • Üle 433 kinnitatud ohustatud projekti ja paketi
  • Mitmed edastusvektorid, sealhulgas GitHub, npm ja IDE laiendused
  • Solana plokiahela infrastruktuuri järjepidev kasutamine kasuliku koormuse edastamiseks
  • Vene süsteemide korduv väljajätmine kõigis variantides

Strateegiline hindamine: tarneahela rünnakute uus ajastu

ForceMemo kampaania kujutab endast tarkvara tarneahela ohtude märkimisväärset eskaleerumist. Selle varjatud Giti ajaloo manipuleerimise, plokiahelal põhineva C2-infrastruktuuri ja platvormideüleste nakkusvektorite kombinatsioon näitab kõrget operatiivset küpsust.

Infrastruktuuri taaskasutamine koos arenevate edastusmehhanismidega viitab kohanemisvõimelisele vastasele, kes on võimeline rünnakuid skaleerima, säilitades samal ajal püsivuse ja rünnakutest kõrvalehoidumise. See nihe isoleeritud kompromiteeringutelt koordineeritud, mitut ökosüsteemi hõlmavatele sissetungidele rõhutab kasvavat riski, millega tänapäevased arenduskeskkonnad ja avatud lähtekoodiga kogukonnad silmitsi seisavad.

Trendikas

E-post lähtestab parooli automaatselt – e-posti pettus

Andmepüük, Rämpspost
Ootamatud meilid, mis nõuavad kohest tegutsemist, peaksid alati kahtlust tekitama. Küberkurjategijad varjavad andmepüügikampaaniaid sageli kiireloomuliste turvateadetena, et survestada saajaid vastama ilma allikat kontrollimata. Üks selline näide on teade „E-posti aadress lähtestatakse automaatselt parooliga“. Kuigi see näib pärinevat seaduslikult meiliteenuse pakkujalt, näitavad uurimised, et...

Ledger - tuvastati kahtlane DEX-tegevus e-posti...

Andmepüük, Rämpspost
Ootamatutesse e-kirjadesse, mis väidavad pakiliste turvaprobleemide kohta, tuleks alati suhtuda ettevaatusega. Küberkurjategijad esinevad sageli tuntud kaubamärkidena, et tekitada paanikat ja survestada saajaid kiiresti tegutsema. Üks selline näide on niinimetatud e-kiri „Ledger – tuvastatud kahtlane DEX-tegevus“. Kuigi need kirjad näivad pärinevat Ledgerilt, ei ole need seotud seadusliku...

Enim vaadatud

Laadimine...