Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „GlassWorm“ kenkėjiška programa

„GlassWorm“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

Nauja „GlassWorm“ kenkėjiškų programų kampanijos banga aktyviai taikosi į programinės įrangos tiekimo grandines, išnaudodama pavogtus „GitHub“ žetonus, kad į šimtus saugyklų įterptų kenkėjišką kodą. Ši operacija daugiausia skirta „Python“ pagrindu sukurtiems projektams, įskaitant „Django“ programas, mašininio mokymosi tyrimų kodą, „Streamlit“ ataskaitų suvestines ir „PyPI“ paketus.

Atakos vektorius yra apgaulingai paprastas, tačiau labai efektyvus: užmaskuota kenkėjiška programa pridedama prie dažnai vykdomų failų, tokių kaip setup.py, main.py ir app.py. Bet kuris kūrėjas, kuris diegia priklausomybes naudodamas pip diegimą arba vykdo klonuotą kodą iš pažeistos saugyklos, nesąmoningai aktyvuoja kenkėjišką apkrovą.

Tyli saugyklų perėmimas: „ForceMemo“ technika

Ši kampanijos evoliucija, dabar vadinama „ForceMemo“, pristato slaptą saugyklų įsilaužimo metodą. Grėsmių veikėjai gauna prieigą prie kūrėjų paskyrų ir manipuliuoja saugyklomis nepalikdami įprastų pėdsakų.

Pertvarkydami teisėtus pakeitimus kenkėjišku kodu ir priverstinai juos nukreipdami į numatytąją šaką, užpuolikai išsaugo originalius pakeitimų metaduomenis, įskaitant pranešimą, autorių ir laiko žymą, efektyviai užmaskuodami įsilaužimą. Šis metodas pašalina matomus indikatorius, tokius kaip užklausos „pull request“ arba įtartina pakeitimų istorija, todėl aptikimą gerokai apsunkina.

Atakos vykdymo grandinė: nuo kredencialų vagystės iki naudingojo krovinio pristatymo

„ForceMemo“ kampanija vykdoma pagal struktūrizuotą ir daugiapakopį įsilaužimo procesą:

  • Kūrėjų aplinkos iš pradžių pažeidžiamos kenkėjiškų „Visual Studio“ kodo ir žymeklio plėtinių, kuriuose yra „GlassWorm“ komponentų, skirtų rinkti slaptus prisijungimo duomenis, įskaitant „GitHub“ žetonus.
  • Pavogti prisijungimo duomenys naudojami užmaskuotiems „Base64“ koduotiems paketams įterpti į „Python“ failus visose saugyklose, susijusiose su pažeista paskyra.
  • Įdiegta kenkėjiška programa atlieka aplinkos patikrinimus, ypač vengdama vykdymo sistemose, sukonfigūruotose su rusiška lokale. Tada ji pateikia užklausą „Solana“ blokų grandinės piniginei, kad dinamiškai gautų naudingosios apkrovos pristatymo URL.
  • Atsisiunčiami papildomi naudingieji failai, įskaitant užšifruotą „JavaScript“, skirtą kriptovaliutų vagystėms ir duomenų nutekėjimui.

Blokų grandinės pagrindu veikiantis valdymas ir kontrolė: atspari infrastruktūra

Šios kampanijos išskirtinis bruožas yra tai, kad ji naudoja „Solana“ blokų grandinę kaip komandų ir kontrolės (C2) mechanizmą. Vietoj tradicinių serverių užpuolikai saugo naudingosios apkrovos URL operacijų priminimų laukuose, susietuose su konkrečiais piniginės adresais.

Analizė rodo, kad su pagrindine pinigine susijusi veikla prasidėjo jau 2025 m. lapkričio 27 d., t. y. mėnesiais anksčiau, nei buvo pastebėti saugyklų pažeidimai. Piniginėje buvo apdorota dešimtys operacijų, o naudingosios apkrovos vietos buvo dažnai atnaujinamos, kartais kelis kartus per dieną. Toks decentralizuotas metodas padidina atsparumą ir apsunkina pašalinimo pastangas.

Atakos paviršiaus išplėtimas: npm ir tarpekosistemines infekcijas

Kampanija išsiplėtė ne tik „Python“ ekosistemose, bet ir „JavaScript“ tiekimo grandinėse. Du „React Native“ npm paketai – „react-native-international-phone-number“ (0.11.8 versija) ir „react-native-country-select“ (0.3.91 versija) – buvo laikinai pažeisti ir išplatinti su įterpta kenkėjiška programa.

Šios kenkėjiškos versijos įdiegė išankstinio diegimo kabliukus, vykdančius užmaskuotą „JavaScript“ kodą, kuris inicijuoja panašią užkrato grandinę. Kenkėjiška programa vėlgi vengia Rusijos sistemų, gauna naudingosios apkrovos instrukcijas per „Solana“ piniginę ir diegia konkrečioms platformoms skirtas grėsmes.

Vykdymas vyksta visiškai atmintyje, naudojant vykdymo laiko metodus, tokius kaip „eval()“ arba „Node.js“ smėlio dėžės principu, paliekant minimalų skaičiavimą analitinių artefaktų. Be to, išsaugojimo mechanizmas apsaugo nuo pakartotinio užkrėtimo per 48 valandas, vietoje saugant laiko žymą.

Pažangi vengimo ir platinimo taktika

Naujausios „GlassWorm“ versijos demonstruoja didesnį siuntimo ir slėpimo sudėtingumą. Naudodami „extensionPack“ ir „extensionDependencies“ mechanizmus, užpuolikai platina kenkėjiškas apkrovas tranzitiniu būdu per patikimas plėtinių ekosistemas.

Ankstesnės su tuo pačiu grėsmės subjektu susijusios kampanijos užgrobė daugiau nei 151 „GitHub“ saugyklą, naudodamos nematomus „Unicode“ simbolius kenkėjiškam kodui paslėpti. Nepaisant įvairių kodų maskavimo ir pateikimo strategijų, visos kampanijos nuolat remiasi ta pačia „Solana“ pagrindu sukurta infrastruktūra, o tai patvirtina vieningą operacinę sistemą.

Kenkėjiški IDE plėtiniai: taikinys į kūrėjų aplinkas

Kampanija taip pat prasiskverbė į kūrimo įrankius per nesąžiningą plėtinį, identifikuotą kaip „reditorsupporter.r-vscode-2.8.8-universal“, skirtą „Windsurf IDE“. Užmaskuotas kaip R kalbos palaikymo įskiepis, jis diegia „Node.js“ pagrindu sukurtą informacijos vagį.

Įdiegus plėtinį, jis nuskaito užšifruotus duomenis iš blokų grandinės operacijų, vykdo juos atmintyje ir diegia kompiliuotus komponentus, kad išgautų jautrius duomenis iš „Chromium“ pagrindu veikiančių naršyklių. Duomenų tęstinumas užtikrinamas atliekant suplanuotas užduotis ir modifikuojant „Windows“ registrą, užtikrinant vykdymą paleidžiant sistemą.

Kenkėjiška programa specialiai nukreipta į kūrėjų aplinkas, neįtraukiant Rusijos sistemų, ir taip atkartoja elgesį, pastebėtą kituose „GlassWorm“ variantuose.

Masto ir poveikio rodikliai

Saugumo analizė rodo, kad kampanija pakenkė didelei atvirojo kodo ekosistemos daliai, paveikdama daugiau nei 433 projektus įvairiose platformose. Tai apima „GitHub“ saugyklas („Python“ ir „JavaScript“), VS Code plėtinius ir npm bibliotekas.

Visi užkrato keliai galiausiai susijungia su „JavaScript“ pagrindu sukurtos informacijos vagystės diegimu, o tai pabrėžia nuoseklų galutinį tikslą – kredencialų rinkimą ir duomenų nutekėjimą.

  • Patvirtinta, kad daugiau nei 433 projektai ir paketai buvo pažeisti.
  • Keli pristatymo vektoriai, įskaitant „GitHub“, „npm“ ir IDE plėtinius
  • Nuoseklus „Solana“ blokų grandinės infrastruktūros naudojimas naudingųjų medžiagų pristatymui
  • Pakartotinis rusiškų sistemų neįtraukimas į visus variantus

Strateginis vertinimas: nauja tiekimo grandinės atakų era

„ForceMemo“ kampanija rodo reikšmingą programinės įrangos tiekimo grandinės grėsmių eskalavimą. Jos slapto „Git“ istorijos manipuliavimo, blokų grandinės pagrindu sukurtos C2 infrastruktūros ir tarpplatforminių užkrato vektorių derinys rodo aukštą operacinio brandumo lygį.

Infrastruktūros pakartotinis naudojimas kartu su besivystančiais pristatymo mechanizmais rodo prisitaikantį priešininką, gebantį plėsti atakas, išlaikant atkaklumą ir vengimą. Šis perėjimas nuo izoliuotų kompromisų prie koordinuotų, daugiaekosistemų įsibrovimų pabrėžia augančią riziką, su kuria susiduria šiuolaikinės kūrimo aplinkos ir atvirojo kodo bendruomenės.

Tendencijos

El. paštas automatiškai iš naujo nustatys slaptažodį...

Sukčiavimas, Šlamštas
Netikėti el. laiškai, reikalaujantys nedelsiant imtis veiksmų, visada turėtų kelti įtarimą. Kibernetiniai nusikaltėliai dažnai maskuoja sukčiavimo kampanijas kaip skubius saugumo pranešimus, norėdami priversti gavėjus atsakyti nepatikrindami šaltinio. Vienas iš tokių pavyzdžių yra pranešimas „El. laiškas automatiškai atkurs slaptažodį“. Nors atrodo, kad jis siunčiamas iš teisėto el. pašto...

„Ledger“ – aptikta įtartina DEX veikla. El. pašto...

Sukčiavimas, Šlamštas
Į netikėtus el. laiškus, kuriuose teigiama apie skubias saugumo problemas, visada reikėtų žiūrėti atsargiai. Kibernetiniai nusikaltėliai dažnai apsimetinėja žinomais prekių ženklais, norėdami sukelti paniką ir priversti gavėjus greitai reaguoti. Vienas iš tokių pavyzdžių yra vadinamasis el. laiškas „Ledger – aptikta įtartina DEX veikla“. Nors atrodo, kad šie laiškai atsiųsti iš „Ledger“, jie...

Labiausiai žiūrima

Įkeliama...