មេរោគ GlassWorm

រលកថ្មីនៃយុទ្ធនាការមេរោគ GlassWorm កំពុងកំណត់គោលដៅយ៉ាងសកម្មទៅលើខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី ដោយកេងប្រវ័ញ្ចថូខឹន GitHub ដែលត្រូវបានគេលួច ដើម្បីចាក់កូដព្យាបាទចូលទៅក្នុងឃ្លាំងរាប់រយ។ ប្រតិបត្តិការនេះផ្តោតជាចម្បងលើគម្រោងដែលមានមូលដ្ឋានលើ Python រួមទាំងកម្មវិធី Django កូដស្រាវជ្រាវការរៀនម៉ាស៊ីន ផ្ទាំងគ្រប់គ្រង Streamlit និងកញ្ចប់ PyPI។

វ៉ិចទ័រវាយប្រហារគឺសាមញ្ញណាស់ ប៉ុន្តែមានប្រសិទ្ធភាពខ្ពស់៖ មេរោគដែលលាក់បាំងត្រូវបានបន្ថែមទៅឯកសារដែលបានប្រតិបត្តិជាទូទៅដូចជា setup.py, main.py និង app.py។ អ្នកអភិវឌ្ឍន៍ណាដែលដំឡើង dependencies តាមរយៈ pip install ឬប្រតិបត្តិកូដក្លូនពីឃ្លាំងដែលសម្របសម្រួលដោយមិនដឹងខ្លួនធ្វើឱ្យ payload ដែលមានគំនិតអាក្រក់សកម្ម។

ការកាន់កាប់ឃ្លាំងសម្ងាត់ស្ងាត់ៗ៖ បច្ចេកទេស ForceMemo

ការវិវត្តនៃយុទ្ធនាការនេះ ដែលឥឡូវត្រូវបានគេហៅថា ForceMemo ណែនាំវិធីសាស្រ្តលួចលាក់មួយដើម្បីសម្របសម្រួលឃ្លាំងទិន្នន័យ។ ជនគំរាមកំហែងទទួលបានសិទ្ធិចូលប្រើគណនីអ្នកអភិវឌ្ឍន៍ និងរៀបចំឃ្លាំងទិន្នន័យដោយមិនបន្សល់ទុកស្លាកស្នាមធម្មតា។

តាមរយៈការបង្កើតមូលដ្ឋានឡើងវិញនូវការប្តេជ្ញាចិត្តស្របច្បាប់ជាមួយនឹងកូដព្យាបាទ និងបង្ខំឱ្យពួកគេទៅកាន់សាខាលំនាំដើម អ្នកវាយប្រហាររក្សាទិន្នន័យមេតានៃការប្តេជ្ញាចិត្តដើម រួមទាំងសារ អ្នកនិពន្ធ និងត្រាពេលវេលា ដោយបិទបាំងការឈ្លានពានប្រកបដោយប្រសិទ្ធភាព។ វិធីសាស្រ្តនេះលុបបំបាត់សូចនាករដែលអាចមើលឃើញដូចជាសំណើទាញ ឬប្រវត្តិនៃការប្តេជ្ញាចិត្តគួរឱ្យសង្ស័យ ដែលធ្វើឱ្យការរកឃើញកាន់តែពិបាក។

ខ្សែសង្វាក់នៃការវាយប្រហារ៖ ពីការលួចព័ត៌មានសម្ងាត់រហូតដល់ការដឹកជញ្ជូនបន្ទុក

យុទ្ធនាការ ForceMemo អនុវត្តតាមដំណើរការឈ្លានពានដែលមានរចនាសម្ព័ន្ធ និងច្រើនដំណាក់កាល៖

• ដំបូងឡើយ បរិស្ថានអ្នកអភិវឌ្ឍន៍ត្រូវបានគំរាមកំហែងតាមរយៈផ្នែកបន្ថែម Visual Studio Code និង Cursor ដែលមានសមាសធាតុ GlassWorm ដែលត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានសម្ងាត់ដ៏រសើប រួមទាំងថូខឹន GitHub។
• អត្តសញ្ញាណប័ណ្ណដែលត្រូវបានគេលួចត្រូវបានប្រើដើម្បីចាក់បញ្ចូលទិន្នន័យដែលបានអ៊ិនកូដ Base64 ដែលលាក់កំបាំងទៅក្នុងឯកសារ Python នៅទូទាំងឃ្លាំងទាំងអស់ដែលជាប់ទាក់ទងនឹងគណនីដែលរងការសម្របសម្រួល។
• មេរោគដែលបានបង្កប់អនុវត្តការត្រួតពិនិត្យបរិស្ថាន ជាពិសេសជៀសវាងការប្រតិបត្តិលើប្រព័ន្ធដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយមូលដ្ឋានរុស្ស៊ី។ បន្ទាប់មកវាសាកសួរកាបូប blockchain Solana ដើម្បីទាញយក URL ចែកចាយ payload ដោយថាមវន្ត។
• បន្ទុកទិន្នន័យបន្ថែមត្រូវបានទាញយក រួមទាំង JavaScript ដែលបានអ៊ិនគ្រីបដែលត្រូវបានរចនាឡើងសម្រាប់ការលួចរូបិយប័ណ្ណគ្រីបតូ និងការលួចយកទិន្នន័យ។

បញ្ជា និងការគ្រប់គ្រងដែលមានមូលដ្ឋានលើ Blockchain៖ ហេដ្ឋារចនាសម្ព័ន្ធដែលអាចធន់បាន

លក្ខណៈពិសេសមួយនៃយុទ្ធនាការនេះគឺការពឹងផ្អែកលើប្លុកឆេន Solana ជាយន្តការបញ្ជា និងត្រួតពិនិត្យ (C2)។ ជំនួសឱ្យម៉ាស៊ីនមេបែបប្រពៃណី អ្នកវាយប្រហាររក្សាទុក URL បន្ទុកទិន្នន័យនៅក្នុងវាលអនុស្សរណៈប្រតិបត្តិការដែលភ្ជាប់ទៅនឹងអាសយដ្ឋានកាបូបជាក់លាក់។

ការវិភាគបង្ហាញថា សកម្មភាពដែលភ្ជាប់ទៅនឹងកាបូបចម្បងបានចាប់ផ្តើមតាំងពីថ្ងៃទី 27 ខែវិច្ឆិកា ឆ្នាំ 2025 ជាច្រើនខែមុនពេលការលួចចូលឃ្លាំងត្រូវបានគេសង្កេតឃើញ។ កាបូបនេះបានដំណើរការប្រតិបត្តិការរាប់សិប ដោយទីតាំងផ្ទុកទិន្នន័យត្រូវបានធ្វើបច្ចុប្បន្នភាពជាញឹកញាប់ ជួនកាលច្រើនដងក្នុងមួយថ្ងៃ។ វិធីសាស្រ្តវិមជ្ឈការនេះបង្កើនភាពធន់ និងធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងដកចេញ។

ការពង្រីកផ្ទៃវាយប្រហារ៖ npm និងការឆ្លងមេរោគឆ្លងប្រព័ន្ធអេកូឡូស៊ី

យុទ្ធនាការនេះបានពង្រីកហួសពីប្រព័ន្ធអេកូឡូស៊ី Python ចូលទៅក្នុងខ្សែសង្វាក់ផ្គត់ផ្គង់ JavaScript។ កញ្ចប់ npm React Native ពីរគឺ react-native-international-phone-number (កំណែ 0.11.8) និង react-native-country-select (កំណែ 0.3.91) ត្រូវបានសម្របសម្រួលជាបណ្តោះអាសន្ន និងចែកចាយជាមួយមេរោគដែលបានបង្កប់។

កំណែព្យាបាទទាំងនេះបានណែនាំទំពក់ដំឡើងជាមុនដែលប្រតិបត្តិ JavaScript ដែលលាក់បាំង ដែលចាប់ផ្តើមខ្សែសង្វាក់ឆ្លងស្រដៀងគ្នា។ មេរោគនេះជៀសវាងប្រព័ន្ធរបស់រុស្ស៊ីម្តងទៀត ទាញយកការណែនាំអំពី payload តាមរយៈកាបូប Solana និងដាក់ពង្រាយការគំរាមកំហែងជាក់លាក់លើវេទិកា។

ការប្រតិបត្តិកើតឡើងទាំងស្រុងនៅក្នុងអង្គចងចាំដោយប្រើបច្ចេកទេសពេលដំណើរការដូចជា eval() ឬ Node.js sandboxing ដោយបន្សល់ទុកនូវវត្ថុបុរាណផ្នែកកោសល្យវិច្ច័យតិចតួចបំផុត។ លើសពីនេះ យន្តការរក្សាបាននូវភាពស្ថិតស្ថេរការពារការឆ្លងឡើងវិញក្នុងរយៈពេល 48 ម៉ោងដោយរក្សាទុកត្រាពេលវេលានៅក្នុងមូលដ្ឋាន។

យុទ្ធសាស្ត្រគេចវេស និងចែកចាយកម្រិតខ្ពស់

កំណែអាប់ដេតថ្មីៗរបស់ GlassWorm បង្ហាញពីភាពទំនើបកាន់តែខ្លាំងឡើងក្នុងការចែកចាយ និងការលាក់បាំង។ តាមរយៈការប្រើប្រាស់យន្តការ extensionPack និង extensionDependencies អ្នកវាយប្រហារចែកចាយបន្ទុកព្យាបាទតាមរយៈប្រព័ន្ធអេកូឡូស៊ីផ្នែកបន្ថែមដែលអាចទុកចិត្តបាន។

យុទ្ធនាការមុនៗដែលភ្ជាប់ទៅនឹងអ្នកគំរាមកំហែងដូចគ្នាបានលួចចូលឃ្លាំង GitHub ជាង 151 ដោយប្រើតួអក្សរយូនីកូដដែលមើលមិនឃើញដើម្បីលាក់កូដព្យាបាទ។ បើទោះបីជាមានយុទ្ធសាស្ត្រលាក់បាំង និងចែកចាយផ្សេងៗគ្នាក៏ដោយ យុទ្ធនាការទាំងអស់ពឹងផ្អែកជាប់លាប់លើហេដ្ឋារចនាសម្ព័ន្ធដែលមានមូលដ្ឋានលើ Solana ដូចគ្នា ដែលបញ្ជាក់ពីក្របខ័ណ្ឌប្រតិបត្តិការបង្រួបបង្រួម។

ផ្នែកបន្ថែម IDE ព្យាបាទ៖ ការកំណត់គោលដៅបរិស្ថានអ្នកអភិវឌ្ឍន៍

យុទ្ធនាការនេះក៏បានជ្រៀតចូលទៅក្នុងឧបករណ៍អភិវឌ្ឍន៍តាមរយៈផ្នែកបន្ថែមដ៏ទុច្ចរិតមួយដែលត្រូវបានកំណត់ថាជា reditorsupporter.r-vscode-2.8.8-universal ដោយកំណត់គោលដៅទៅលើ Windsurf IDE។ វាក្លែងបន្លំជាកម្មវិធីជំនួយភាសា R ហើយដាក់ពង្រាយកម្មវិធីលួចព័ត៌មានដែលមានមូលដ្ឋានលើ Node.js។

នៅពេលដំឡើងរួច កម្មវិធីបន្ថែមនឹងទាញយកបន្ទុកដែលបានអ៊ិនគ្រីបពីប្រតិបត្តិការ blockchain ប្រតិបត្តិវានៅក្នុងអង្គចងចាំ និងដាក់ពង្រាយសមាសធាតុដែលបានចងក្រងដើម្បីទាញយកទិន្នន័យរសើបពីកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium។ ភាពស្ថិតស្ថេរត្រូវបានសម្រេចតាមរយៈភារកិច្ចដែលបានកំណត់ពេល និងការកែប្រែ Windows Registry ដែលធានាបាននូវការប្រតិបត្តិនៅពេលចាប់ផ្តើមប្រព័ន្ធ។

មេរោគនេះកំណត់គោលដៅជាពិសេសទៅលើបរិស្ថានអ្នកអភិវឌ្ឍន៍ ខណៈពេលដែលមិនរាប់បញ្ចូលប្រព័ន្ធរបស់រុស្ស៊ី ដែលឆ្លុះបញ្ចាំងពីឥរិយាបថដែលសង្កេតឃើញនៅទូទាំងវ៉ារ្យ៉ង់ GlassWorm ផ្សេងទៀត។

សូចនាករនៃមាត្រដ្ឋាន និងផលប៉ះពាល់

ការវិភាគសុវត្ថិភាពបង្ហាញថា យុទ្ធនាការនេះបានធ្វើឱ្យប៉ះពាល់ដល់ផ្នែកសំខាន់មួយនៃប្រព័ន្ធអេកូឡូស៊ីប្រភពបើកចំហ ដែលប៉ះពាល់ដល់គម្រោងជាង ៤៣៣ នៅទូទាំងវេទិកាច្រើន។ ទាំងនេះរួមមានឃ្លាំង GitHub (Python និង JavaScript) ផ្នែកបន្ថែម VS Code និងបណ្ណាល័យ npm។

ផ្លូវឆ្លងមេរោគទាំងអស់នៅទីបំផុតបញ្ចូលគ្នាទៅលើការដាក់ពង្រាយកម្មវិធីលួចព័ត៌មានដែលមានមូលដ្ឋានលើ JavaScript ដោយបង្ហាញពីគោលដៅចុងក្រោយដែលស៊ីសង្វាក់គ្នានៃការប្រមូលផលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ និងការលួចយកទិន្នន័យ។

• គម្រោង និងកញ្ចប់ជាង ៤៣៣ ដែលត្រូវបានបញ្ជាក់ថារងការគំរាមកំហែង
• វ៉ិចទ័រចែកចាយច្រើនរួមមាន GitHub, npm និងផ្នែកបន្ថែម IDE
• ការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធ blockchain របស់ Solana ជាប់លាប់សម្រាប់ការដឹកជញ្ជូន payload
• ការដកចេញម្តងហើយម្តងទៀតនៃប្រព័ន្ធរុស្ស៊ីនៅទូទាំងវ៉ារ្យ៉ង់ទាំងអស់

ការវាយតម្លៃយុទ្ធសាស្ត្រ៖ យុគសម័យថ្មីនៃការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់

យុទ្ធនាការ ForceMemo តំណាងឱ្យការកើនឡើងគួរឱ្យកត់សម្គាល់នៃការគំរាមកំហែងខ្សែសង្វាក់ផ្គត់ផ្គង់កម្មវិធី។ ការរួមបញ្ចូលគ្នានៃការរៀបចំប្រវត្តិ Git ដោយលួចលាក់ ហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលមានមូលដ្ឋានលើ blockchain និងវ៉ិចទ័រឆ្លងវេទិកាបង្ហាញពីកម្រិតខ្ពស់នៃភាពចាស់ទុំប្រតិបត្តិការ។

ការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធឡើងវិញ រួមជាមួយនឹងយន្តការចែកចាយដែលកំពុងវិវត្តបង្ហាញពីសត្រូវដែលអាចសម្របខ្លួនបាន ដែលមានសមត្ថភាពពង្រីកការវាយប្រហារ ខណៈពេលដែលរក្សាបាននូវការតស៊ូ និងការគេចវេស។ ការផ្លាស់ប្តូរពីការសម្របសម្រួលដាច់ដោយឡែក ទៅជាការឈ្លានពានពហុប្រព័ន្ធអេកូឡូស៊ីដែលសម្របសម្រួលគ្នា គូសបញ្ជាក់ពីហានិភ័យកាន់តែខ្លាំងឡើង ដែលបរិស្ថានអភិវឌ្ឍន៍ទំនើប និងសហគមន៍ប្រភពបើកចំហកំពុងប្រឈមមុខ។