Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian Hasad GlassWorm

Perisian Hasad GlassWorm

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Gelombang baharu kempen perisian hasad GlassWorm sedang giat menyasarkan rantaian bekalan perisian dengan mengeksploitasi token GitHub yang dicuri untuk menyuntik kod berniat jahat ke dalam ratusan repositori. Operasi ini tertumpu terutamanya pada projek berasaskan Python, termasuk aplikasi Django, kod penyelidikan pembelajaran mesin, papan pemuka Streamlit dan pakej PyPI.

Vektor serangan ini nampak mudah tetapi sangat berkesan: perisian hasad yang dikaburkan dilampirkan pada fail yang biasa dilaksanakan seperti setup.py, main.py dan app.py. Mana-mana pembangun yang memasang kebergantungan melalui pip install atau melaksanakan kod klon daripada repositori yang dikompromi tanpa disedari akan mengaktifkan muatan berniat jahat.

Pengambilalihan Repositori Senyap: Teknik ForceMemo

Evolusi kempen ini, yang kini dirujuk sebagai ForceMemo, memperkenalkan kaedah tersembunyi untuk menjejaskan repositori. Pelakon ancaman mendapat akses kepada akaun pembangun dan memanipulasi repositori tanpa meninggalkan kesan konvensional.

Dengan mengasaskan semula komit yang sah dengan kod berniat jahat dan memaksanya ke cabang lalai, penyerang mengekalkan metadata komit asal, termasuk mesej, pengarang dan cap waktu, sekali gus menutup pencerobohan dengan berkesan. Pendekatan ini menghapuskan penunjuk yang boleh dilihat seperti permintaan tarik atau sejarah komit yang mencurigakan, menjadikan pengesanan jauh lebih sukar.

Rantaian Pelaksanaan Serangan: Daripada Kecurian Kredensial kepada Penghantaran Muatan

Kempen ForceMemo mengikuti proses pencerobohan berstruktur dan berbilang peringkat:

  • Persekitaran pembangun pada mulanya dikompromi melalui sambungan Visual Studio Code dan Cursor yang berniat jahat yang membawa komponen GlassWorm yang direka untuk menuai kelayakan sensitif, termasuk token GitHub.
  • Kelayakan yang dicuri kemudiannya digunakan untuk menyuntik muatan yang dikodkan Base64 yang dikaburkan ke dalam fail Python merentasi semua repositori yang berkaitan dengan akaun yang dikompromi.
  • Perisian hasad terbenam tersebut menjalankan pemeriksaan persekitaran, terutamanya mengelakkan pelaksanaan pada sistem yang dikonfigurasikan dengan lokasi Rusia. Ia kemudiannya membuat pertanyaan pada dompet rantaian blok Solana untuk mendapatkan URL penghantaran muatan secara dinamik.
  • Muatan tambahan dimuat turun, termasuk JavaScript yang disulitkan yang direka untuk kecurian mata wang kripto dan penapisan data.

Perintah dan Kawalan Berasaskan Rantaian Blok: Infrastruktur yang Berdaya Tahan

Ciri khas kempen ini ialah pergantungannya pada rantaian blok Solana sebagai mekanisme Perintah dan Kawalan (C2). Penyerang menyimpan URL muatan dalam medan memo transaksi yang terikat pada alamat dompet tertentu berbanding pelayan tradisional.

Analisis mendedahkan bahawa aktiviti yang dikaitkan dengan dompet utama bermula seawal 27 November 2025, beberapa bulan sebelum pencerobohan repositori diperhatikan. Dompet tersebut telah memproses berpuluh-puluh transaksi, dengan lokasi muatan dikemas kini dengan kerap, kadangkala berbilang kali sehari. Pendekatan terdesentralisasi ini meningkatkan daya tahan dan merumitkan usaha penghapusan.

Memperluas Permukaan Serangan: npm dan Jangkitan Merentas Ekosistem

Kempen ini telah diperluaskan melangkaui ekosistem Python ke dalam rantaian bekalan JavaScript. Dua pakej npm React Native, react-native-international-phone-number (versi 0.11.8) dan react-native-country-select (versi 0.3.91), telah dikompromi buat sementara waktu dan diedarkan dengan perisian hasad terbenam.

Versi berniat jahat ini memperkenalkan hook prapemasangan yang melaksanakan JavaScript yang dikaburkan yang memulakan rantaian jangkitan yang serupa. Perisian hasad sekali lagi mengelakkan sistem Rusia, mendapatkan arahan muatan melalui dompet Solana dan menggunakan ancaman khusus platform.

Pelaksanaan berlaku sepenuhnya dalam memori menggunakan teknik runtime seperti eval() atau sandboxing Node.js, meninggalkan artifak forensik yang minimum. Selain itu, mekanisme persistensi menghalang jangkitan semula dalam tempoh 48 jam dengan menyimpan cap waktu secara setempat.

Taktik Pengelakan dan Pengedaran Lanjutan

Iterasi GlassWorm terkini menunjukkan peningkatan kecanggihan dalam penyampaian dan penyembunyian. Dengan memanfaatkan mekanisme extensionPack dan extensionDependencies, penyerang mengedarkan muatan berniat jahat secara transitif melalui ekosistem sambungan yang dipercayai.

Kempen terdahulu yang dikaitkan dengan pelaku ancaman yang sama telah menjejaskan lebih 151 repositori GitHub menggunakan aksara Unicode yang tidak kelihatan untuk menyembunyikan kod berniat jahat. Walaupun terdapat pelbagai strategi pengeliruan dan penyampaian, semua kempen sentiasa bergantung pada infrastruktur berasaskan Solana yang sama, mengesahkan rangka kerja operasi yang bersatu.

Sambungan IDE Berniat Jahat: Menyasarkan Persekitaran Pembangun

Kempen ini juga telah menyusup masuk ke dalam alat pembangunan melalui sambungan penyangak yang dikenal pasti sebagai reditorsupporter.r-vscode-2.8.8-universal, yang menyasarkan Windsurf IDE. Menyamar sebagai pemalam sokongan bahasa R, ia menggunakan alat pencuri maklumat berasaskan Node.js.

Setelah dipasang, sambungan tersebut akan mengambil muatan yang disulitkan daripada transaksi blockchain, melaksanakannya dalam memori dan menggunakan komponen yang dikompilasi untuk mengekstrak data sensitif daripada pelayar berasaskan Chromium. Kegigihan dicapai melalui tugasan berjadual dan pengubahsuaian Windows Registry, memastikan pelaksanaan semasa permulaan sistem.

Perisian hasad ini secara khusus menyasarkan persekitaran pembangun sambil mengecualikan sistem Rusia, mencerminkan tingkah laku yang diperhatikan merentasi varian GlassWorm yang lain.

Petunjuk Skala dan Impak

Analisis keselamatan menunjukkan bahawa kempen tersebut telah menjejaskan sebahagian besar ekosistem sumber terbuka, menjejaskan lebih daripada 433 projek merentasi pelbagai platform. Ini termasuk repositori GitHub (Python dan JavaScript), sambungan VS Code dan pustaka npm.

Semua laluan jangkitan akhirnya bertemu pada penggunaan pencuri maklumat berasaskan JavaScript, menonjolkan matlamat akhir yang konsisten iaitu penuaian kelayakan dan penapisan data.

  • Lebih 433 projek dan pakej yang disahkan terjejas
  • Pelbagai vektor penghantaran termasuk sambungan GitHub, npm dan IDE
  • Penggunaan infrastruktur rantaian blok Solana yang konsisten untuk penghantaran muatan
  • Pengecualian berulang sistem Rusia merentasi semua varian

Penilaian Strategik: Era Baharu Serangan Rantaian Bekalan

Kempen ForceMemo mewakili peningkatan ketara dalam ancaman rantaian bekalan perisian. Gabungan manipulasi sejarah Git yang tersembunyi, infrastruktur C2 berasaskan rantaian blok dan vektor jangkitan merentas platform menunjukkan tahap kematangan operasi yang tinggi.

Penggunaan semula infrastruktur di samping mekanisme penyampaian yang berkembang menunjukkan musuh adaptif yang mampu meningkatkan serangan sambil mengekalkan kegigihan dan pengelakan. Peralihan daripada kompromi terpencil kepada pencerobohan berbilang ekosistem yang diselaraskan ini menggariskan risiko yang semakin meningkat yang dihadapi oleh persekitaran pembangunan moden dan komuniti sumber terbuka.

Trending

Paling banyak dilihat

Memuatkan...