ग्लासवर्म मालवेयर
GlassWorm मालवेयर अभियानको नयाँ लहरले चोरी गरिएका GitHub टोकनहरूको शोषण गरेर सयौं भण्डारहरूमा दुर्भावनापूर्ण कोड इन्जेक्ट गरेर सफ्टवेयर आपूर्ति श्रृंखलाहरूलाई सक्रिय रूपमा लक्षित गरिरहेको छ। यो अपरेशन मुख्यतया पाइथन-आधारित परियोजनाहरूमा केन्द्रित छ, जसमा Django अनुप्रयोगहरू, मेसिन लर्निङ अनुसन्धान कोड, Streamlit ड्यासबोर्डहरू, र PyPI प्याकेजहरू समावेश छन्।
आक्रमण भेक्टर भ्रामक रूपमा सरल छ तर अत्यधिक प्रभावकारी छ: अस्पष्ट मालवेयर setup.py, main.py, र app.py जस्ता सामान्यतया कार्यान्वयन गरिएका फाइलहरूमा जोडिएको हुन्छ। कुनै पनि विकासकर्ता जसले pip install मार्फत निर्भरताहरू स्थापना गर्दछ वा सम्झौता गरिएको भण्डारबाट क्लोन गरिएको कोड कार्यान्वयन गर्दछ अनजानमा मालिसियस पेलोड सक्रिय गर्दछ।
सामग्रीको तालिका
मौन भण्डार अधिग्रहण: फोर्समेमो प्रविधि
अभियानको यो विकास, जसलाई अब फोर्समेमो भनिन्छ, ले भण्डारहरू सम्झौता गर्ने एक गोप्य तरिका प्रस्तुत गर्दछ। धम्की दिने अभिनेताहरूले विकासकर्ता खाताहरूमा पहुँच प्राप्त गर्छन् र परम्परागत निशानहरू नछोडिकन भण्डारहरू हेरफेर गर्छन्।
वैध कमिटहरूलाई मालिसियस कोडको साथ रिबेस्ड गरेर र तिनीहरूलाई पूर्वनिर्धारित शाखामा जबरजस्ती धकेल्दै, आक्रमणकारीहरूले सन्देश, लेखक, र टाइमस्ट्याम्प सहित मौलिक कमिट मेटाडेटा सुरक्षित राख्छन्, जसले गर्दा घुसपैठलाई प्रभावकारी रूपमा लुकाउँछ। यो दृष्टिकोणले पुल अनुरोध वा शंकास्पद कमिट इतिहास जस्ता दृश्यात्मक संकेतकहरूलाई हटाउँछ, जसले गर्दा पत्ता लगाउन धेरै गाह्रो हुन्छ।
आक्रमण कार्यान्वयन शृङ्खला: प्रमाणपत्र चोरीदेखि पेलोड डेलिभरीसम्म
फोर्समेमो अभियानले संरचित र बहु-चरणीय घुसपैठ प्रक्रिया पछ्याउँछ:
- विकासकर्ता वातावरणहरू सुरुमा दुर्भावनापूर्ण भिजुअल स्टुडियो कोड र कर्सर एक्सटेन्सनहरू मार्फत सम्झौता गरिन्छन् जसले GitHub टोकनहरू सहित संवेदनशील प्रमाणहरू सङ्कलन गर्न डिजाइन गरिएको GlassWorm कम्पोनेन्टहरू बोक्छन्।
- चोरी गरिएका प्रमाणहरू त्यसपछि सम्झौता गरिएको खातासँग सम्बन्धित सबै भण्डारहरूमा पाइथन फाइलहरूमा अस्पष्ट Base64-इनकोड गरिएका पेलोडहरू इन्जेक्ट गर्न प्रयोग गरिन्छ।
- इम्बेडेड मालवेयरले वातावरणीय जाँचहरू गर्दछ, विशेष गरी रूसी लोकेलसँग कन्फिगर गरिएका प्रणालीहरूमा कार्यान्वयनलाई बेवास्ता गर्दछ। त्यसपछि यसले पेलोड डेलिभरी URL लाई गतिशील रूपमा पुन: प्राप्त गर्न सोलाना ब्लकचेन वालेटलाई सोध्छ।
- क्रिप्टोकरेन्सी चोरी र डेटा एक्सफिल्टरेशनको लागि डिजाइन गरिएको इन्क्रिप्टेड जाभास्क्रिप्ट सहित थप पेलोडहरू डाउनलोड गरिन्छन्।
ब्लकचेन-आधारित आदेश र नियन्त्रण: एक लचिलो पूर्वाधार
यस अभियानको एउटा परिभाषित विशेषता भनेको कमाण्ड-एन्ड-कन्ट्रोल (C2) संयन्त्रको रूपमा सोलाना ब्लकचेनमा यसको निर्भरता हो। परम्परागत सर्भरहरूको सट्टा, आक्रमणकारीहरूले विशिष्ट वालेट ठेगानाहरूसँग बाँधिएको लेनदेन मेमो क्षेत्रहरू भित्र पेलोड URL हरू भण्डारण गर्छन्।
विश्लेषणले देखाउँछ कि प्राथमिक वालेटसँग जोडिएको गतिविधि नोभेम्बर २७, २०२५ मा सुरु भएको थियो, भण्डार सम्झौताहरू अवलोकन हुनुभन्दा महिनौं अघि। वालेटले दर्जनौं लेनदेनहरू प्रशोधन गरेको छ, पेलोड स्थानहरू बारम्बार अपडेट गरिएको छ, कहिलेकाहीँ प्रति दिन धेरै पटक। यो विकेन्द्रीकृत दृष्टिकोणले लचिलोपन बढाउँछ र टेकडाउन प्रयासहरूलाई जटिल बनाउँछ।
आक्रमण सतह विस्तार गर्दै: npm र क्रस-इकोसिस्टम संक्रमणहरू
यो अभियान पाइथन इकोसिस्टमभन्दा बाहिर जाभास्क्रिप्ट आपूर्ति शृङ्खलाहरूमा विस्तार भएको छ। दुई रियाक्ट नेटिभ एनपीएम प्याकेजहरू, रियाक्ट-नेटिभ-इन्टरनेशनल-फोन-नम्बर (संस्करण ०.११.८) र रियाक्ट-नेटिभ-कन्ट्री-सेलेक्ट (संस्करण ०.३.९१), अस्थायी रूपमा सम्झौता गरिएको थियो र एम्बेडेड मालवेयरको साथ वितरण गरिएको थियो।
यी दुर्भावनापूर्ण संस्करणहरूले अस्पष्ट जाभास्क्रिप्ट कार्यान्वयन गर्ने प्रि-इन्स्टल हुकहरू प्रस्तुत गरे जसले समान संक्रमण श्रृंखला सुरु गर्दछ। मालवेयरले फेरि रूसी प्रणालीहरूलाई बेवास्ता गर्छ, सोलाना वालेट मार्फत पेलोड निर्देशनहरू प्राप्त गर्दछ, र प्लेटफर्म-विशिष्ट खतराहरू तैनाथ गर्दछ।
कार्यान्वयन पूर्ण रूपमा मेमोरीमा हुन्छ रनटाइम प्रविधिहरू जस्तै eval() वा Node.js स्यान्डबक्सिङ प्रयोग गरेर, न्यूनतम फोरेन्सिक कलाकृतिहरू छोडेर। थप रूपमा, एक दृढता संयन्त्रले स्थानीय रूपमा टाइमस्ट्याम्प भण्डारण गरेर ४८-घण्टा विन्डो भित्र पुन: संक्रमणलाई रोक्छ।
उन्नत चोरी र वितरण रणनीतिहरू
GlassWorm को हालैका पुनरावृत्तिहरूले डेलिभरी र लुकाउने कार्यमा बढेको परिष्कार प्रदर्शन गर्दछ। एक्सटेन्सनप्याक र एक्सटेन्सनडिपेन्डेन्सी संयन्त्रहरूको लाभ उठाएर, आक्रमणकारीहरूले विश्वसनीय एक्सटेन्सन इकोसिस्टमहरू मार्फत दुर्भावनापूर्ण पेलोडहरू ट्रान्जिटिभ रूपमा वितरण गर्छन्।
उही खतरा अभिनेतासँग सम्बन्धित पहिलेका अभियानहरूले दुर्भावनापूर्ण कोड लुकाउन अदृश्य युनिकोड क्यारेक्टरहरू प्रयोग गरेर १५१ भन्दा बढी GitHub भण्डारहरूमा सम्झौता गरेका थिए। विभिन्न अस्पष्टता र डेलिभरी रणनीतिहरूको बावजुद, सबै अभियानहरू निरन्तर एउटै सोलाना-आधारित पूर्वाधारमा निर्भर छन्, जसले एकीकृत परिचालन ढाँचा पुष्टि गर्दछ।
दुर्भावनापूर्ण IDE विस्तारहरू: विकासकर्ता वातावरणलाई लक्षित गर्दै
अभियानले विन्डसर्फ IDE लाई लक्षित गर्दै reditorsupporter.r-vscode-2.8.8-universal को रूपमा पहिचान गरिएको दुष्ट एक्सटेन्सन मार्फत विकास उपकरणहरूमा पनि घुसपैठ गरेको छ। R भाषा समर्थन प्लगइनको रूपमा भेषमा, यसले Node.js-आधारित जानकारी चोर तैनाथ गर्दछ।
एकपटक स्थापना भएपछि, एक्सटेन्सनले ब्लकचेन लेनदेनहरूबाट इन्क्रिप्टेड पेलोडहरू पुन: प्राप्त गर्दछ, मेमोरीमा कार्यान्वयन गर्दछ, र क्रोमियम-आधारित ब्राउजरहरूबाट संवेदनशील डेटा निकाल्न कम्पाइल गरिएका घटकहरू तैनाथ गर्दछ। प्रणाली स्टार्टअपमा कार्यान्वयन सुनिश्चित गर्दै, निर्धारित कार्यहरू र विन्डोज रजिस्ट्री परिमार्जनहरू मार्फत दृढता प्राप्त गरिन्छ।
मालवेयरले विशेष गरी विकासकर्ता वातावरणलाई लक्षित गर्दछ जबकि रूसी प्रणालीहरूलाई बाहेक गर्दछ, अन्य GlassWorm भेरियन्टहरूमा अवलोकन गरिएको व्यवहारलाई प्रतिबिम्बित गर्दछ।
स्केल र प्रभावका सूचकहरू
सुरक्षा विश्लेषणले अभियानले खुला-स्रोत इकोसिस्टमको ठूलो भागलाई सम्झौता गरेको संकेत गर्छ, जसले धेरै प्लेटफर्महरूमा ४३३ भन्दा बढी परियोजनाहरूलाई असर गरेको छ। यसमा GitHub भण्डारहरू (पाइथन र जाभास्क्रिप्ट), VS कोड एक्सटेन्सनहरू, र npm पुस्तकालयहरू समावेश छन्।
सबै संक्रमण मार्गहरू अन्ततः जाभास्क्रिप्ट-आधारित जानकारी चोरको तैनाथीमा मिल्छन्, जसले प्रमाण संकलन र डेटा एक्सफिल्टरेशनको एकरूप अन्तिम लक्ष्यलाई हाइलाइट गर्दछ।
- ४३३ भन्दा बढी सम्झौता भएका परियोजना र प्याकेजहरू पुष्टि भए
- GitHub, npm, र IDE एक्सटेन्सनहरू सहित बहु डेलिभरी भेक्टरहरू
- पेलोड डेलिभरीको लागि सोलाना ब्लकचेन पूर्वाधारको निरन्तर प्रयोग
- सबै भेरियन्टहरूमा रूसी प्रणालीहरूको बारम्बार बहिष्कार
रणनीतिक मूल्याङ्कन: आपूर्ति श्रृंखला आक्रमणको नयाँ युग
फोर्समेमो अभियानले सफ्टवेयर आपूर्ति श्रृंखला खतराहरूमा उल्लेखनीय वृद्धिको प्रतिनिधित्व गर्दछ। यसको गोप्य Git इतिहास हेरफेर, ब्लकचेन-आधारित C2 पूर्वाधार, र क्रस-प्लेटफर्म संक्रमण भेक्टरहरूको संयोजनले उच्च स्तरको परिचालन परिपक्वता प्रदर्शन गर्दछ।
विकासशील वितरण संयन्त्रहरूसँगै पूर्वाधारको पुन: प्रयोगले दृढता र टार्दै आक्रमणहरू मापन गर्न सक्षम अनुकूली शत्रुलाई संकेत गर्दछ। पृथक सम्झौताबाट समन्वित, बहु-पारिस्थितिक घुसपैठमा यो परिवर्तनले आधुनिक विकास वातावरण र खुला-स्रोत समुदायहरूको सामना गरिरहेको बढ्दो जोखिमलाई रेखांकित गर्दछ।
