Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra GlassWorm ļaunprogrammatūra

GlassWorm ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Jauns GlassWorm ļaunprogrammatūras kampaņas vilnis aktīvi uzbrūk programmatūras piegādes ķēdēm, izmantojot nozagtus GitHub žetonus, lai ievadītu ļaunprātīgu kodu simtiem repozitoriju. Šī operācija galvenokārt koncentrējas uz Python balstītiem projektiem, tostarp Django lietojumprogrammām, mašīnmācīšanās pētniecības kodam, Streamlit informācijas paneļiem un PyPI pakotnēm.

Uzbrukuma vektors ir maldinoši vienkāršs, tomēr ļoti efektīvs: bieži izpildītiem failiem, piemēram, setup.py, main.py un app.py, tiek pievienota apmulsināta ļaunprogrammatūra. Jebkurš izstrādātājs, kurš instalē atkarības, izmantojot pip install, vai izpilda klonētu kodu no kompromitētas krātuves, neapzināti aktivizē ļaunprātīgo vērtumu.

Klusa repozitoriju pārņemšana: ForceMemo tehnika

Šī kampaņas evolūcija, kas tagad dēvēta par ForceMemo, ievieš slepenu repozitoriju kompromitēšanas metodi. Draudu izpildītāji iegūst piekļuvi izstrādātāju kontiem un manipulē ar repozitorijiem, neatstājot parastas pēdas.

Pārveidojot likumīgu izmaiņu bāzi ar ļaunprātīgu kodu un piespiedu kārtā virzot tās uz noklusējuma atzaru, uzbrucēji saglabā sākotnējos izmaiņu metadatus, tostarp ziņojumu, autoru un laika zīmogu, efektīvi maskējot ielaušanos. Šī pieeja novērš redzamus indikatorus, piemēram, pieprasījumus vai aizdomīgas izmaiņu vēstures, ievērojami apgrūtinot atklāšanu.

Uzbrukuma izpildes ķēde: no akreditācijas datu zādzības līdz lietderīgās slodzes piegādei

ForceMemo kampaņa seko strukturētam un daudzpakāpju ielaušanās procesam:

  • Izstrādātāju vides sākotnēji tiek apdraudētas, izmantojot ļaunprātīgu Visual Studio kodu un kursora paplašinājumus, kas satur GlassWorm komponentus, kas paredzēti sensitīvu akreditācijas datu, tostarp GitHub žetonu, apkopošanai.
  • Nozagtas akreditācijas dati pēc tam tiek izmantoti, lai ievadītu apmulsinātus Base64 kodētus datus Python failos visos repozitorijos, kas saistīti ar kompromitēto kontu.
  • Iegultā ļaunprogrammatūra veic vides pārbaudes, jo īpaši izvairoties no izpildes sistēmās, kas konfigurētas ar krievu lokalizāciju. Pēc tam tā veic vaicājumu Solana blokķēdes makam, lai dinamiski izgūtu vērtuma piegādes URL.
  • Tiek lejupielādētas papildu vērtuma slodzes, tostarp šifrēts JavaScript, kas paredzēts kriptovalūtas zādzībām un datu eksfiltrācijai.

Blokķēdes vadības un kontroles sistēma: noturīga infrastruktūra

Šīs kampaņas raksturīga iezīme ir tās paļaušanās uz Solana blokķēdi kā vadības un kontroles (C2) mehānismu. Tradicionālo serveru vietā uzbrucēji glabā vērtuma URL darījumu piezīmju laukos, kas saistīti ar konkrētām maku adresēm.

Analīze atklāj, ka ar galveno maku saistītā aktivitāte sākās jau 2025. gada 27. novembrī, vairākus mēnešus pirms repozitorija kompromitēšanas. Maks ir apstrādājis desmitiem darījumu, un vērtuma atrašanās vietas tiek bieži atjauninātas, dažreiz vairākas reizes dienā. Šī decentralizētā pieeja uzlabo noturību un sarežģī noņemšanas centienus.

Uzbrukuma virsmas paplašināšana: npm un starpekosistēmu infekcijas

Kampaņa ir paplašinājusies ārpus Python ekosistēmām, iekļaujot arī JavaScript piegādes ķēdes. Divas React Native npm pakotnes — react-native-international-phone-number (0.11.8. versija) un react-native-country-select (0.3.91. versija) — tika īslaicīgi apdraudētas un izplatītas ar iegultu ļaunprogrammatūru.

Šīs ļaunprātīgās versijas ieviesa pirmsinstalēšanas āķus, kas izpilda apmulsinātu JavaScript kodu, kas ierosina līdzīgu inficēšanas ķēdi. Ļaunprogramma atkal izvairās no Krievijas sistēmām, izgūst lietderīgās slodzes instrukcijas, izmantojot Solana maku, un izvieto platformai specifiskus draudus.

Izpilde notiek pilnībā atmiņā, izmantojot izpildlaika metodes, piemēram, eval() vai Node.js smilškastes metodi, atstājot minimālus forenzikas artefaktus. Turklāt saglabāšanas mehānisms novērš atkārtotu inficēšanu 48 stundu laikā, lokāli saglabājot laika zīmogu.

Uzlabota izvairīšanās un izplatīšanas taktika

Jaunākās GlassWorm versijas demonstrē paaugstinātu piegādes un slēpšanas sarežģītību. Izmantojot extensionPack un extensionDependencies mehānismus, uzbrucēji tranzitīvi izplata ļaunprātīgu vērtumu, izmantojot uzticamas paplašinājumu ekosistēmas.

Iepriekšējās kampaņas, kas bija saistītas ar to pašu apdraudējuma dalībnieku, apdraudēja vairāk nekā 151 GitHub repozitoriju, izmantojot neredzamas unikoda rakstzīmes, lai paslēptu ļaunprātīgo kodu. Neskatoties uz dažādām slēpšanas un piegādes stratēģijām, visas kampaņas konsekventi balstās uz vienu un to pašu Solana infrastruktūru, apstiprinot vienotu darbības sistēmu.

Ļaunprātīgi IDE paplašinājumi: mērķtiecīgi izstrādātāju vides

Kampaņa ir iefiltrējusies arī izstrādes rīkos, izmantojot negodīgu paplašinājumu, kas identificēts kā reditorsupporter.r-vscode-2.8.8-universal, un kura mērķis ir Windsurf IDE. Maskēts kā R valodas atbalsta spraudnis, tas izvieto uz Node.js balstītu informācijas zagli.

Pēc instalēšanas paplašinājums izgūst šifrētus datus no blokķēdes darījumiem, izpilda tos atmiņā un izvieto kompilētus komponentus, lai iegūtu sensitīvus datus no Chromium bāzes pārlūkprogrammām. Neatlaidība tiek panākta, izmantojot ieplānotus uzdevumus un Windows reģistra modifikācijas, nodrošinot izpildi sistēmas startēšanas laikā.

Ļaunprogrammatūra ir īpaši vērsta uz izstrādātāju vidēm, izslēdzot Krievijas sistēmas, atspoguļojot uzvedību, kas novērota citos GlassWorm variantos.

Mēroga un ietekmes rādītāji

Drošības analīze liecina, ka kampaņa ir apdraudējusi ievērojamu atvērtā pirmkoda ekosistēmas daļu, ietekmējot vairāk nekā 433 projektus vairākās platformās. Tie ietver GitHub repozitorijus (Python un JavaScript), VS Code paplašinājumus un npm bibliotēkas.

Visi inficēšanās ceļi galu galā saplūst ar JavaScript balstīta informācijas zagļa izvietošanu, uzsverot konsekventu galamērķi — akreditācijas datu iegūšanu un datu eksfiltrāciju.

  • Vairāk nekā 433 apstiprināti apdraudēti projekti un pakotnes
  • Vairāki piegādes vektori, tostarp GitHub, npm un IDE paplašinājumi
  • Pastāvīga Solana blokķēdes infrastruktūras izmantošana lietderīgās slodzes piegādei
  • Atkārtota Krievijas sistēmu izslēgšana visos variantos

Stratēģiskais novērtējums: jauna piegādes ķēžu uzbrukumu ēra

ForceMemo kampaņa atspoguļo ievērojamu programmatūras piegādes ķēdes apdraudējumu eskalāciju. Tās slepenās Git vēstures manipulācijas, blokķēdē balstītas C2 infrastruktūras un starpplatformu infekcijas vektoru kombinācija demonstrē augstu operacionālās brieduma līmeni.

Infrastruktūras atkārtota izmantošana līdzās attīstošiem piegādes mehānismiem norāda uz adaptīvu pretinieku, kas spēj mērogot uzbrukumus, vienlaikus saglabājot neatlaidību un izvairīšanos. Šī pāreja no izolētiem kompromisiem uz koordinētiem, daudzu ekosistēmu ielaušanās veidiem uzsver pieaugošo risku, ar ko saskaras mūsdienu izstrādes vides un atvērtā pirmkoda kopienas.

Tendences

E-pasts automātiski atiestatīs paroli E-pasta...

Pikšķerēšana, Mēstules
Negaidītiem e-pastiem, kas pieprasa tūlītēju rīcību, vienmēr vajadzētu radīt aizdomas. Kibernoziedznieki bieži maskē pikšķerēšanas kampaņas kā steidzamus drošības paziņojumus, lai piespiestu adresātus atbildēt, nepārbaudot avotu. Ziņojums “E-pasts automātiski atiestatīs paroli” ir viens no šādiem piemēriem. Lai gan šķiet, ka tas nāk no likumīga e-pasta pakalpojumu sniedzēja, izmeklēšana...

Ledger — konstatēta aizdomīga DEX aktivitāte....

Pikšķerēšana, Mēstules
Ar negaidītiem e-pastiem, kas apgalvo par steidzamām drošības problēmām, vienmēr jāizturas piesardzīgi. Kibernoziedznieki bieži uzdodas par labi pazīstamiem zīmoliem, lai radītu paniku un piespiestu adresātus rīkoties ātri. Tā sauktais e-pasts “Ledger — konstatēta aizdomīga DEX aktivitāte” ir viens no šādiem piemēriem. Lai gan šķiet, ka ziņojumi nāk no Ledger, tie nav saistīti ar likumīgo...

Visvairāk skatīts

Notiek ielāde...