Monen lisenssin alennustarjous
Uhatietokanta Haittaohjelma GlassWorm-haittaohjelma

GlassWorm-haittaohjelma

Vuonna Mezo vuonna Haittaohjelma, Advanced Persistent Threat (APT)
Käännä:

GlassWorm-haittaohjelmakampanjan uusi aalto kohdistaa aktiivisesti hyökkäyksiä ohjelmistojen toimitusketjuihin hyödyntämällä varastettuja GitHub-tokeneja ja injektoimalla haitallista koodia satoihin ohjelmistoarkistoon. Tämä operaatio keskittyy pääasiassa Python-pohjaisiin projekteihin, kuten Django-sovelluksiin, koneoppimisen tutkimuskoodiin, Streamlit-koontinäyttöihin ja PyPI-paketteihin.

Hyökkäysvektori on petollisen yksinkertainen mutta erittäin tehokas: hämärretty haittaohjelma liitetään yleisesti suoritettaviin tiedostoihin, kuten setup.py, main.py ja app.py. Jokainen kehittäjä, joka asentaa riippuvuuksia pip-asennuksen kautta tai suorittaa kloonattua koodia vaarantuneesta arkistosta, aktivoi tietämättään haitallisen hyötykuorman.

Hiljaiset arkiston haltuunotot: ForceMemo-tekniikka

Tämä kampanjan kehitysaskel, jota nykyään kutsutaan nimellä ForceMemo, esittelee salakavalan menetelmän tietovarastojen vaarantamiseen. Uhkatoimijat pääsevät käsiksi kehittäjätileille ja manipuloivat tietovarastoja jättämättä tavanomaisia jälkiä.

Muokkaamalla laillisten committien pohjaa haitallisella koodilla ja pakottamalla ne oletushaaraan hyökkääjät säilyttävät alkuperäiset commit-metatiedot, kuten viestin, tekijän ja aikaleiman, peittäen tehokkaasti tunkeutumisen. Tämä lähestymistapa poistaa näkyvät indikaattorit, kuten pull-pyynnöt tai epäilyttävät commit-historiat, mikä vaikeuttaa havaitsemista huomattavasti.

Hyökkäyksen toteutusketju: Tunnistetietojen varastamisesta hyötykuorman toimitukseen

ForceMemo-kampanja noudattaa jäsenneltyä ja monivaiheista tunkeutumisprosessia:

  • Kehittäjäympäristöt vaarantuvat aluksi haitallisten Visual Studio -koodi- ja kursorilaajennusten kautta, jotka sisältävät arkaluonteisten tunnistetietojen, kuten GitHub-tokenien, keräämiseen suunniteltuja GlassWorm-komponentteja.
  • Varastettuja tunnistetietoja käytetään sitten syöttämään hämärrettyjä Base64-koodattuja hyötykuormia Python-tiedostoihin kaikissa vaarantuneeseen tiliin liittyvissä tietovarastoissa.
  • Sulautettu haittaohjelma suorittaa ympäristötarkistuksia ja välttää erityisesti suorituksen järjestelmissä, joissa on venäläinen kieliasetus. Sitten se tekee kyselyn Solanan lohkoketjulompakolle noutaakseen dynaamisesti hyötykuorman toimitus-URL-osoitteen.
  • Lisähyötykuormia ladataan, mukaan lukien salattu JavaScript, joka on suunniteltu kryptovaluutan varastamiseen ja tietojen vuotamiseen.

Lohkoketjupohjainen komento ja hallinta: joustava infrastruktuuri

Tämän kampanjan tyypillinen piirre on sen luottaminen Solana-lohkoketjuun komento- ja hallintamekanismina (C2). Perinteisten palvelimien sijaan hyökkääjät tallentavat hyötykuormien URL-osoitteita tapahtumamuistiokenttiin, jotka on sidottu tiettyihin lompakko-osoitteisiin.

Analyysi paljastaa, että ensisijaiseen lompakkoon liittyvä toiminta alkoi jo 27. marraskuuta 2025, kuukausia ennen kuin tietovaraston tietomurtoja havaittiin. Lompakko on käsitellyt kymmeniä tapahtumia, ja hyötykuormien sijaintia on päivitetty usein, joskus useita kertoja päivässä. Tämä hajautettu lähestymistapa parantaa sietokykyä ja vaikeuttaa poistotoimia.

Hyökkäyspinnan laajentaminen: npm ja ekosysteemien väliset infektiot

Kampanja on laajentunut Python-ekosysteemien ulkopuolelle JavaScript-toimitusketjuihin. Kaksi React Native npm -pakettia, react-native-international-phone-number (versio 0.11.8) ja react-native-country-select (versio 0.3.91), vaarantuivat tilapäisesti ja levisivät niihin upotettujen haittaohjelmien kera.

Nämä haitalliset versiot esiasensivat koukkuja, jotka suorittivat hämärrettyä JavaScriptiä ja aloittivat samanlaisen tartuntaketjun. Haittaohjelma välttelee jälleen venäläisiä järjestelmiä, hakee hyötykuormaohjeet Solana-lompakon kautta ja käyttää alustakohtaisia uhkia.

Suoritus tapahtuu kokonaan muistissa käyttäen ajonaikaisia tekniikoita, kuten eval() tai Node.js-hiekkalaatikko, jolloin rikostekniset artefaktit jäävät mahdollisimman vähäisiksi. Lisäksi pysyvyysmekanismi estää uudelleentartunnan 48 tunnin sisällä tallentamalla aikaleiman paikallisesti.

Edistyneet väistö- ja levitystaktiikat

GlassWormin viimeaikaiset versiot osoittavat entistä kehittyneempää jakelua ja piilottamista. Hyödyntämällä extensionPack- ja extensionDependencies-mekanismeja hyökkääjät jakavat haitallisia hyötykuormia transitiivisesti luotettavien laajennusekosysteemien kautta.

Aiemmat samaan uhkatoimijaan liittyvät kampanjat murtautuivat yli 151 GitHub-tietovarastoon käyttämällä näkymättömiä Unicode-merkkejä haitallisen koodin piilottamiseen. Vaihtelevista hämärtämis- ja jakelustrategioista huolimatta kaikki kampanjat käyttävät johdonmukaisesti samaa Solana-pohjaista infrastruktuuria, mikä vahvistaa yhtenäisen toimintakehyksen.

Haitalliset IDE-laajennukset: Kehittäjäympäristöihin kohdistuvat hyökkäykset

Kampanja on myös tunkeutunut kehitystyökaluihin reditorsupporter.r-vscode-2.8.8-universal -nimisen haitallisen laajennuksen kautta, joka on kohdistettu Windsurf IDE:hen. R-kielen tukilaajennukseksi naamioituna se käyttää Node.js-pohjaista tiedonvarastajaa.

Asennuksen jälkeen laajennus hakee salattuja hyötykuormia lohkoketjutapahtumista, suorittaa ne muistissa ja ottaa käyttöön käännettyjä komponentteja arkaluonteisten tietojen poimimiseksi Chromium-pohjaisista selaimista. Pysyvyys saavutetaan ajoitettujen tehtävien ja Windowsin rekisterin muutosten avulla, mikä varmistaa suorituksen järjestelmän käynnistyksen yhteydessä.

Haittaohjelma kohdistuu erityisesti kehittäjäympäristöihin sulkien pois venäläiset järjestelmät, peilaten muissa GlassWorm-varianteissa havaittua toimintaa.

Laajuus- ja vaikutusindikaattorit

Tietoturva-analyysi osoittaa, että kampanja on vaarantanut merkittävän osan avoimen lähdekoodin ekosysteemistä ja vaikuttanut yli 433 projektiin useilla alustoilla. Näihin kuuluvat GitHub-arkistot (Python ja JavaScript), VS Code -laajennukset ja npm-kirjastot.

Kaikki tartuntareitit lopulta keskittyvät JavaScript-pohjaisen tiedonvarastajien käyttöönottoon, mikä korostaa tunnistetietojen keräämisen ja tiedonsiirron johdonmukaista lopputavoitetta.

  • Yli 433 vahvistettua vaarantunutta projektia ja pakettia
  • Useita toimitusvektoreita, mukaan lukien GitHub, npm ja IDE-laajennukset
  • Solanan lohkoketjuinfrastruktuurin johdonmukainen käyttö hyötykuormien toimituksessa
  • Venäläisten järjestelmien toistuva poissulkeminen kaikista muunnelmista

Strateginen arviointi: Toimitusketjuhyökkäysten uusi aikakausi

ForceMemo-kampanja edustaa merkittävää ohjelmistojen toimitusketjuuhkien eskaloitumista. Sen yhdistelmä huomaamatonta Git-historian manipulointia, lohkoketjupohjaista C2-infrastruktuuria ja alustojen välisiä tartuntavektoreita osoittaa korkeaa operatiivista kypsyyttä.

Infrastruktuurin uudelleenkäyttö kehittyvien toimitusmekanismien rinnalla viittaa mukautuvaan vastustajaan, joka kykenee skaalaamaan hyökkäyksiä samalla kun se ylläpitää sinnikkyyttä ja hyökkäysten väistöä. Tämä siirtyminen yksittäisistä hyökkäyksistä koordinoituihin, useita ekosysteemejä kattaviin tunkeutumiseen korostaa kasvavaa riskiä, joka kohtaa nykyaikaisia kehitysympäristöjä ja avoimen lähdekoodin yhteisöjä.

Trendaavat

Sähköpostin salasana palautuu automaattisesti...

Tietojenkalastelu, Roskaposti
Odottamattomat sähköpostit, jotka vaativat välittömiä toimia, herättävät aina epäilyksiä. Kyberrikolliset naamioivat usein tietojenkalastelukampanjoita kiireellisiksi turvallisuusilmoituksiksi painostaakseen vastaanottajia vastaamaan varmistamatta lähdettä. Yksi tällainen esimerkki on "Sähköpostin salasana vaihdetaan automaattisesti" -viesti. Vaikka se näyttää tulevan lailliselta...

Ledger - Epäilyttävää DEX-toimintaa havaittu....

Tietojenkalastelu, Roskaposti
Odottamattomiin sähköposteihin, joissa väitetään kiireellisistä tietoturvaongelmista, tulee aina suhtautua varoen. Kyberrikolliset esiintyvät usein tunnettuina tuotemerkkeinä luodakseen paniikkia ja painostaakseen vastaanottajia toimimaan nopeasti. Niin kutsuttu "Ledger - Epäilyttävä DEX-toiminta havaittu" -sähköposti on yksi tällainen esimerkki. Vaikka viestit näyttävät tulevan Ledgeriltä, ne...

Eniten katsottu

Ladataan...