Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware Üvegféreg kártevő

Üvegféreg kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

A GlassWorm rosszindulatú kampány új hulláma aktívan célozza a szoftverellátási láncokat lopott GitHub tokenek kihasználásával, hogy rosszindulatú kódot juttasson több száz tárolóba. Ez a művelet elsősorban Python-alapú projektekre összpontosít, beleértve a Django alkalmazásokat, a gépi tanuláson alapuló kutatási kódokat, a Streamlit irányítópultokat és a PyPI csomagokat.

A támadási vektor megtévesztően egyszerű, mégis rendkívül hatékony: a obfuszkált rosszindulatú programokat gyakran végrehajtott fájlokhoz, például a setup.py, main.py és app.py fájlokhoz fűzik hozzá. Bármely fejlesztő, aki függőségeket telepít pip install segítségével, vagy klónozott kódot futtat egy feltört tárolóból, tudtán kívül aktiválja a rosszindulatú hasznos adatot.

Csendes adattár-átvételek: A ForceMemo technika

A kampány ezen evolúciója, amelyet most ForceMemo-nak neveznek, egy alattomos módszert vezet be a tárolók feltörésére. A kibertámadások szereplői hozzáférhetnek fejlesztői fiókokhoz, és manipulálhatják a tárolókat anélkül, hogy hagyományos nyomokat hagynának maguk után.

A támadók a jogos commitokat rosszindulatú kóddal alapozzák át, és az alapértelmezett ágra kényszerítik őket, így megőrzik az eredeti commit metaadatokat, beleértve az üzenetet, a szerzőt és az időbélyeget, hatékonyan elfedve a behatolást. Ez a megközelítés kiküszöböli a látható jelzéseket, például a pull requesteket vagy a gyanús commit előzményeket, ami jelentősen megnehezíti az észlelést.

Támadásvégrehajtási lánc: a hitelesítő adatok ellopásától a hasznos teher kézbesítéséig

A ForceMemo kampány egy strukturált és többlépcsős behatolási folyamatot követ:

  • A fejlesztői környezeteket kezdetben rosszindulatú Visual Studio kód és kurzorbővítmények veszélyeztetik, amelyek GlassWorm komponenseket tartalmaznak, amelyek érzékeny hitelesítő adatok, beleértve a GitHub tokeneket is, gyűjtésére szolgálnak.
  • Az ellopott hitelesítő adatokat ezután arra használják, hogy obfuszkált Base64 kódolású hasznos adatokat injektáljanak a feltört fiókhoz társított összes adattárban található Python-fájlokba.
  • A beágyazott rosszindulatú program környezeti ellenőrzéseket végez, elkerülve az orosz területi beállítással konfigurált rendszereken való végrehajtást. Ezután lekérdezi a Solana blokklánc-tárcát, hogy dinamikusan lekérje a hasznos adat kézbesítési URL-jét.
  • További hasznos fájlokat töltenek le, beleértve a kriptovaluta-lopásra és adatlopásra tervezett titkosított JavaScriptet is.

Blokklánc-alapú parancsnokság és irányítás: egy rugalmas infrastruktúra

A kampány meghatározó jellemzője, hogy a Solana blokkláncra támaszkodik, mint parancs-és-kontroll (C2) mechanizmusra. A hagyományos szerverek helyett a támadók a hasznos adatok URL-jeit tranzakciós feljegyzés mezőkben tárolják, amelyek adott pénztárca címekhez vannak kötve.

Az elemzés kimutatta, hogy az elsődleges tárcához kapcsolódó aktivitás már 2025. november 27-én elkezdődött, hónapokkal azelőtt, hogy a tárca feltört adatokat észleltek volna. A tárca több tucat tranzakciót dolgozott fel, a hasznos adatok helyét gyakran, néha naponta többször is frissítették. Ez a decentralizált megközelítés növeli a rugalmasságot és bonyolítja az eltávolítási erőfeszítéseket.

A támadási felület kiterjesztése: npm és kereszt-ökoszisztémás fertőzések

A kampány a Python ökoszisztémákon túl a JavaScript ellátási láncokra is kiterjedt. Két React Native npm csomag, a react-native-international-phone-number (0.11.8-as verzió) és a react-native-country-select (0.3.91-es verzió) ideiglenesen feltört és beágyazott rosszindulatú programokkal terjedt.

Ezek a rosszindulatú verziók előtelepítési hookokat vezettek be, amelyek obfuszkált JavaScript kódot futtattak, és hasonló fertőzési láncot indítottak el. A kártevő ismét elkerüli az orosz rendszereket, egy Solana-tárca segítségével kéri le a hasznos adatokat tartalmazó utasításokat, és platformspecifikus fenyegetéseket telepít.

A végrehajtás teljes egészében a memóriában történik futásidejű technikák, például az eval() vagy a Node.js sandboxing használatával, minimális forenzikus műterméket hagyva maga után. Ezenkívül egy megőrző mechanizmus megakadályozza az újrafertőződést 48 órán belül egy időbélyeg helybeni tárolásával.

Fejlett kitérés és terjesztési taktikák

A GlassWorm legújabb verziói a kézbesítés és az elrejtés fokozott kifinomultságát mutatják. Az extensionPack és az extensionDependencies mechanizmusok kihasználásával a támadók tranzitív módon terjeszthetik a rosszindulatú hasznos adatokat megbízható kiterjesztés-ökoszisztémákon keresztül.

Ugyanahhoz a fenyegetéshez kapcsolódó korábbi kampányok több mint 151 GitHub-repozitóriumot támadtak meg láthatatlan Unicode karaktereket használva a rosszindulatú kód elrejtésére. A különféle obfuszkálási és kézbesítési stratégiák ellenére minden kampány következetesen ugyanarra a Solana-alapú infrastruktúrára támaszkodik, megerősítve az egységes működési keretrendszert.

Rosszindulatú IDE-bővítmények: Fejlesztői környezeteket céloznak meg

A kampány egy reditorsupporter.r-vscode-2.8.8-universal néven azonosított kamu bővítményen keresztül fejlesztőeszközökbe is beszivárgott, a Windsurf IDE-t célozva meg. Egy R nyelvet támogató bővítménynek álcázva egy Node.js-alapú információlopót telepít.

A telepítés után a bővítmény titkosított adatokat kér le a blokklánc-tranzakciókból, végrehajtja azokat a memóriában, és lefordított komponenseket telepít az érzékeny adatok kinyerésére a Chromium-alapú böngészőkből. Az adatmegőrzés ütemezett feladatok és a Windows rendszerleíró adatbázis módosításai révén érhető el, biztosítva a végrehajtást a rendszer indításakor.

A kártevő kifejezetten a fejlesztői környezeteket célozza meg, miközben kizárja az orosz rendszereket, tükrözve a többi GlassWorm variánsnál megfigyelt viselkedést.

A lépték és a hatás mutatói

A biztonsági elemzés szerint a kampány a nyílt forráskódú ökoszisztéma jelentős részét veszélyeztette, több mint 433 projektet érintve több platformon. Ezek közé tartoznak a GitHub adattárak (Python és JavaScript), a VS Code kiterjesztések és az npm könyvtárak.

Minden fertőzési útvonal végső soron egy JavaScript-alapú információlopó telepítéséhez vezet, ami rávilágít a hitelesítő adatok gyűjtésének és az adatok ellopásának következetes végcéljára.

  • Több mint 433 megerősített, feltört projekt és csomag
  • Több kézbesítési vektor, beleértve a GitHub, npm és IDE kiterjesztéseket
  • A Solana blokklánc infrastruktúra következetes használata a hasznos teher kézbesítéséhez
  • Az orosz rendszerek ismételt kizárása az összes változatból

Stratégiai értékelés: Az ellátási láncok elleni támadások új korszaka

A ForceMemo kampány a szoftverellátási lánc fenyegetéseinek jelentős eszkalációját jelenti. A lopakodó Git-előzménymanipuláció, a blokklánc-alapú C2 infrastruktúra és a platformfüggetlen fertőzési vektorok kombinációja magas szintű működési érettséget mutat.

Az infrastruktúra újrafelhasználása a fejlődő kézbesítési mechanizmusok mellett egy adaptív ellenségre utal, amely képes a támadások skálázására, miközben fenntartja a kitartást és az elkerülést. Ez az elmozdulás az elszigetelt kompromittálásokról az összehangolt, több ökoszisztémát érintő behatolásokra rávilágít a modern fejlesztői környezeteket és a nyílt forráskódú közösségeket fenyegető növekvő kockázatra.

Felkapott

Az e-mail automatikusan jelszó-visszaállítást hajt...

Adathalászat, Spam
A váratlan, azonnali cselekvést igénylő e-maileknek mindig gyanút kell kelteniük. A kiberbűnözők gyakran álcázzák az adathalász kampányokat sürgős biztonsági értesítésekként, hogy nyomást gyakoroljanak a címzettekre a forrás ellenőrzése nélküli válaszadásra. Az „Email automatikusan jelszó-visszaállításra kerül” üzenet egy ilyen példa. Bár úgy tűnik, hogy egy legitim e-mail szolgáltatótól...

Ledger - Gyanús DEX tevékenységet észleltünk...

Adathalászat, Spam
A sürgős biztonsági problémákra hivatkozó váratlan e-maileket mindig óvatosan kell kezelni. A kiberbűnözők gyakran ismert márkáknak adják ki magukat, hogy pánikot keltsenek, és a címzetteket gyors cselekvésre bírják. Az úgynevezett „Ledger - Gyanús DEX tevékenység észlelve” e-mail egy ilyen példa. Bár úgy tűnik, hogy a Ledgertől származnak, az üzenetek nem a legitim hardvertárca-gyártóhoz vagy...

Legnézettebb

Betöltés...