ग्लासवर्म मैलवेयर
ग्लासवर्म मैलवेयर अभियान की एक नई लहर चोरी किए गए गिटहब टोकन का फायदा उठाकर सैकड़ों रिपॉजिटरी में दुर्भावनापूर्ण कोड डालकर सॉफ्टवेयर आपूर्ति श्रृंखलाओं को सक्रिय रूप से निशाना बना रही है। यह अभियान मुख्य रूप से पायथन-आधारित परियोजनाओं पर केंद्रित है, जिनमें जैंगो एप्लिकेशन, मशीन लर्निंग अनुसंधान कोड, स्ट्रीमलिट डैशबोर्ड और PyPI पैकेज शामिल हैं।
हमले का तरीका देखने में सरल लेकिन बेहद प्रभावी है: सेटअप.पी, मेन.पी और ऐप.पी जैसी आमतौर पर निष्पादित होने वाली फ़ाइलों में छिपा हुआ मैलवेयर जोड़ दिया जाता है। कोई भी डेवलपर जो pip install के माध्यम से निर्भरताएँ स्थापित करता है या किसी असुरक्षित रिपॉजिटरी से क्लोन किए गए कोड को निष्पादित करता है, अनजाने में ही इस दुर्भावनापूर्ण पेलोड को सक्रिय कर देता है।
विषयसूची
साइलेंट रिपॉजिटरी टेकओवर: फोर्समेमो तकनीक
इस अभियान के इस नए संस्करण को अब फोर्समेमो कहा जाता है, जो रिपॉजिटरी को हैक करने का एक गुप्त तरीका पेश करता है। हमलावर डेवलपर खातों तक पहुंच प्राप्त करते हैं और बिना कोई निशान छोड़े रिपॉजिटरी में हेरफेर करते हैं।
दुर्भावनापूर्ण कोड वाले वैध कमिट्स को रीबेस करके और उन्हें डिफ़ॉल्ट ब्रांच पर फ़ोर्स-पुश करके, हमलावर मूल कमिट मेटाडेटा, जिसमें संदेश, लेखक और टाइमस्टैम्प शामिल हैं, को सुरक्षित रखते हैं, जिससे घुसपैठ प्रभावी रूप से छिप जाती है। यह तरीका पुल रिक्वेस्ट या संदिग्ध कमिट हिस्ट्री जैसे दृश्य संकेतकों को खत्म कर देता है, जिससे पता लगाना काफी मुश्किल हो जाता है।
हमले की निष्पादन श्रृंखला: क्रेडेंशियल चोरी से लेकर पेलोड डिलीवरी तक
फोर्समेमो अभियान एक संरचित और बहु-स्तरीय घुसपैठ प्रक्रिया का अनुसरण करता है:
- डेवलपर वातावरण को शुरू में दुर्भावनापूर्ण विजुअल स्टूडियो कोड और कर्सर एक्सटेंशन के माध्यम से प्रभावित किया जाता है, जिनमें ग्लासवर्म घटक होते हैं जो GitHub टोकन सहित संवेदनशील क्रेडेंशियल को इकट्ठा करने के लिए डिज़ाइन किए गए हैं।
- चोरी किए गए क्रेडेंशियल्स का उपयोग करके, समझौता किए गए खाते से जुड़े सभी रिपॉजिटरी में मौजूद पायथन फाइलों में अस्पष्ट बेस64-एनकोडेड पेलोड इंजेक्ट किए जाते हैं।
- यह एम्बेडेड मैलवेयर वातावरण की जाँच करता है, विशेष रूप से रूसी भाषा में कॉन्फ़िगर किए गए सिस्टम पर निष्पादन से बचता है। इसके बाद यह पेलोड डिलीवरी यूआरएल को गतिशील रूप से प्राप्त करने के लिए सोलाना ब्लॉकचेन वॉलेट से क्वेरी करता है।
- क्रिप्टोकरेंसी की चोरी और डेटा की चोरी के लिए डिज़ाइन किए गए एन्क्रिप्टेड जावास्क्रिप्ट सहित अतिरिक्त पेलोड डाउनलोड किए जाते हैं।
ब्लॉकचेन-आधारित कमांड और नियंत्रण: एक लचीला बुनियादी ढांचा
इस अभियान की एक प्रमुख विशेषता कमांड-एंड-कंट्रोल (C2) तंत्र के रूप में सोलाना ब्लॉकचेन पर इसकी निर्भरता है। पारंपरिक सर्वरों के बजाय, हमलावर विशिष्ट वॉलेट पतों से जुड़े लेनदेन मेमो फ़ील्ड में पेलोड URL संग्रहीत करते हैं।
विश्लेषण से पता चलता है कि प्राथमिक वॉलेट से जुड़ी गतिविधि 27 नवंबर, 2025 से ही शुरू हो गई थी, यानी रिपॉजिटरी में सेंधमारी का पता चलने से कई महीने पहले। वॉलेट ने दर्जनों लेनदेन संसाधित किए हैं, और पेलोड स्थानों को लगातार अपडेट किया जाता है, कभी-कभी तो दिन में कई बार। यह विकेंद्रीकृत दृष्टिकोण मजबूती बढ़ाता है और इसे नष्ट करने के प्रयासों को जटिल बनाता है।
हमले की सतह का विस्तार: npm और क्रॉस-इकोसिस्टम संक्रमण
यह अभियान पायथन इकोसिस्टम से आगे बढ़कर जावास्क्रिप्ट सप्लाई चेन तक फैल गया है। रिएक्ट नेटिव के दो एनपीएम पैकेज, react-native-international-phone-number (संस्करण 0.11.8) और react-native-country-select (संस्करण 0.3.91), अस्थायी रूप से प्रभावित हुए और उनमें मैलवेयर छिपाकर वितरित किए गए।
इन दुर्भावनापूर्ण संस्करणों में प्रीइंस्टॉल हुक शामिल किए गए थे जो अस्पष्ट जावास्क्रिप्ट को निष्पादित करते हैं और इसी तरह की संक्रमण श्रृंखला शुरू करते हैं। मैलवेयर एक बार फिर रूसी प्रणालियों से बचता है, सोलाना वॉलेट के माध्यम से पेलोड निर्देश प्राप्त करता है और प्लेटफ़ॉर्म-विशिष्ट खतरों को तैनात करता है।
निष्पादन पूरी तरह से मेमोरी में eval() या Node.js सैंडबॉक्सिंग जैसी रनटाइम तकनीकों का उपयोग करके होता है, जिससे न्यूनतम फोरेंसिक अवशेष बचते हैं। इसके अतिरिक्त, एक परसिस्टेंस तंत्र स्थानीय रूप से टाइमस्टैम्प संग्रहीत करके 48 घंटे की अवधि के भीतर पुनः संक्रमण को रोकता है।
उन्नत बचाव और वितरण रणनीति
ग्लासवर्म के हालिया संस्करण डिलीवरी और छिपाव में अधिक परिष्कृत तकनीक का प्रदर्शन करते हैं। एक्सटेंशनपैक और एक्सटेंशनडिपेंडेंसी तंत्रों का लाभ उठाकर, हमलावर विश्वसनीय एक्सटेंशन इकोसिस्टम के माध्यम से दुर्भावनापूर्ण पेलोड को वितरित करते हैं।
इससे पहले, इसी तरह के हमलावरों द्वारा चलाए गए अभियानों में अदृश्य यूनिकोड वर्णों का उपयोग करके दुर्भावनापूर्ण कोड को छिपाते हुए 151 से अधिक GitHub रिपॉजिटरी को हैक किया गया था। विभिन्न प्रकार की अस्पष्टीकरण और वितरण रणनीतियों के बावजूद, सभी अभियान लगातार एक ही सोलाना-आधारित बुनियादी ढांचे पर निर्भर थे, जो एक एकीकृत परिचालन ढांचे की पुष्टि करता है।
दुर्भावनापूर्ण IDE एक्सटेंशन: डेवलपर वातावरणों को निशाना बनाना
इस अभियान ने reditorsupporter.r-vscode-2.8.8-universal नामक एक दुर्भावनापूर्ण एक्सटेंशन के माध्यम से विकास उपकरणों में भी घुसपैठ की है, जो Windsurf IDE को लक्षित करता है। R भाषा समर्थन प्लगइन के रूप में छिपा हुआ, यह Node.js-आधारित सूचना चोरी करने वाले टूल को तैनात करता है।
एक बार इंस्टॉल होने के बाद, यह एक्सटेंशन ब्लॉकचेन लेनदेन से एन्क्रिप्टेड पेलोड प्राप्त करता है, उन्हें मेमोरी में निष्पादित करता है, और क्रोमियम-आधारित ब्राउज़रों से संवेदनशील डेटा निकालने के लिए संकलित घटकों को तैनात करता है। निर्धारित कार्यों और विंडोज रजिस्ट्री संशोधनों के माध्यम से निरंतरता सुनिश्चित की जाती है, जिससे सिस्टम स्टार्टअप पर निष्पादन सुनिश्चित होता है।
यह मैलवेयर विशेष रूप से डेवलपर वातावरण को निशाना बनाता है जबकि रूसी प्रणालियों को इससे बाहर रखता है, जो अन्य ग्लासवर्म वेरिएंट में देखे गए व्यवहार के समान है।
पैमाने और प्रभाव के संकेतक
सुरक्षा विश्लेषण से पता चलता है कि इस अभियान ने ओपन-सोर्स इकोसिस्टम के एक बड़े हिस्से को प्रभावित किया है, जिससे कई प्लेटफार्मों पर 433 से अधिक प्रोजेक्ट प्रभावित हुए हैं। इनमें GitHub रिपॉजिटरी (Python और JavaScript), VS Code एक्सटेंशन और npm लाइब्रेरी शामिल हैं।
संक्रमण के सभी रास्ते अंततः जावास्क्रिप्ट-आधारित सूचना चोर की तैनाती पर आकर मिलते हैं, जो क्रेडेंशियल संग्रहण और डेटा की चोरी के एक सुसंगत अंतिम लक्ष्य को उजागर करता है।
- 433 से अधिक प्रभावित परियोजनाओं और पैकेजों की पुष्टि हो चुकी है।
- GitHub, npm और IDE एक्सटेंशन सहित कई डिलीवरी माध्यम।
- पेलोड डिलीवरी के लिए सोलाना ब्लॉकचेन इन्फ्रास्ट्रक्चर का लगातार उपयोग
- सभी वेरिएंटों में रूसी प्रणालियों का बार-बार बहिष्कार
रणनीतिक मूल्यांकन: आपूर्ति श्रृंखला हमलों का एक नया युग
फोर्समेमो अभियान सॉफ्टवेयर आपूर्ति श्रृंखला खतरों में एक महत्वपूर्ण वृद्धि का प्रतिनिधित्व करता है। इसमें गुप्त रूप से गिट इतिहास में हेरफेर, ब्लॉकचेन-आधारित सी2 अवसंरचना और क्रॉस-प्लेटफ़ॉर्म संक्रमण वाहकों का संयोजन उच्च स्तर की परिचालन परिपक्वता को दर्शाता है।
विकसित होते वितरण तंत्रों के साथ-साथ बुनियादी ढांचे का पुन: उपयोग एक ऐसे अनुकूलनशील विरोधी को इंगित करता है जो निरंतरता और बचाव बनाए रखते हुए हमलों को बढ़ाने में सक्षम है। पृथक हमलों से समन्वित, बहु-पारिस्थितिकी तंत्र घुसपैठ की ओर यह बदलाव आधुनिक विकास परिवेशों और ओपन-सोर्स समुदायों के सामने बढ़ते जोखिम को रेखांकित करता है।
