Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware GlassWorm

Programe malware GlassWorm

Până în Mezo în Programe malware, Amenințare persistentă avansată (APT)
Tradu in:

Un nou val al campaniei de malware GlassWorm vizează în mod activ lanțurile de aprovizionare cu software, exploatând token-uri GitHub furate pentru a injecta cod malițios în sute de repozitorii. Această operațiune se concentrează în principal pe proiecte bazate pe Python, inclusiv aplicații Django, cod de cercetare pentru învățarea automată, tablouri de bord Streamlit și pachete PyPI.

Vectorul de atac este înșelător de simplu, dar extrem de eficient: malware-ul ofuscat este adăugat la fișiere executate frecvent, cum ar fi setup.py, main.py și app.py. Orice dezvoltator care instalează dependențe prin pip install sau execută cod clonat dintr-un depozit compromis activează fără să știe sarcina utilă rău intenționată.

Preluări silențioase ale depozitelor: Tehnica ForceMemo

Această evoluție a campaniei, denumită acum ForceMemo, introduce o metodă discretă de compromitere a depozitelor. Actorii amenințători obțin acces la conturile dezvoltatorilor și manipulează depozitele fără a lăsa urme convenționale.

Prin redefinirea bazei commit-urilor legitime cu cod malițios și transferarea forțată a acestora către ramura implicită, atacatorii păstrează metadatele originale ale commit-urilor, inclusiv mesajul, autorul și marcajul temporal, maschând eficient intruziunea. Această abordare elimină indicatorii vizibili, cum ar fi solicitările de extragere sau istoricul suspect al commit-urilor, ceea ce face detectarea semnificativ mai dificilă.

Lanțul de execuție a atacurilor: de la furtul de acreditări la livrarea sarcinii utile

Campania ForceMemo urmează un proces de intruziune structurat și în mai multe etape:

  • Mediile de dezvoltare sunt inițial compromise de codul Visual Studio și de extensiile Cursor malițioase care conțin componente GlassWorm concepute pentru a colecta acreditări sensibile, inclusiv token-uri GitHub.
  • Acreditările furate sunt apoi folosite pentru a injecta sarcini utile codificate în Base64, ofuscate, în fișiere Python din toate depozitele asociate contului compromis.
  • Malware-ul încorporat efectuează verificări de mediu, evitând în special execuția pe sistemele configurate cu o regională rusească. Apoi, interoghează un portofel blockchain Solana pentru a prelua dinamic adresa URL de livrare a sarcinii utile.
  • Sunt descărcate sarcini suplimentare, inclusiv JavaScript criptat conceput pentru furtul de criptomonede și exfiltrarea datelor.

Comandă și control bazate pe blockchain: o infrastructură rezilientă

O caracteristică definitorie a acestei campanii este dependența de blockchain-ul Solana ca mecanism de comandă și control (C2). În loc de servere tradiționale, atacatorii stochează adrese URL ale sarcinii utile în câmpuri de memo-uri de tranzacții legate de adrese specifice de portofel.

Analiza arată că activitatea legată de portofelul principal a început încă din 27 noiembrie 2025, cu câteva luni înainte de observarea compromiterii depozitului. Portofelul a procesat zeci de tranzacții, locațiile sarcinii utile fiind actualizate frecvent, uneori de mai multe ori pe zi. Această abordare descentralizată sporește reziliența și complică eforturile de eliminare a acestora.

Extinderea suprafeței de atac: npm și infecțiile interecosistemice

Campania s-a extins dincolo de ecosistemele Python, incluzând lanțurile de aprovizionare JavaScript. Două pachete React Native npm, react-native-international-phone-number (versiunea 0.11.8) și react-native-country-select (versiunea 0.3.91), au fost compromise temporar și distribuite cu programe malware încorporate.

Aceste versiuni malițioase au introdus hook-uri de preinstalare care execută JavaScript ofuscat și inițiază un lanț de infecție similar. Malware-ul evită din nou sistemele rusești, preia instrucțiuni despre sarcina utilă prin intermediul unui portofel Solana și implementează amenințări specifice platformei.

Execuția are loc în întregime în memorie folosind tehnici de execuție precum eval() sau sandboxing-ul Node.js, lăsând artefacte forense minime. În plus, un mecanism de persistență previne reinfectarea într-o fereastră de 48 de ore prin stocarea locală a unui timestamp.

Tactici avansate de evaziune și distribuție

Iterațiile recente ale GlassWorm demonstrează o sofisticare sporită în livrare și ascundere. Prin valorificarea mecanismelor extensionPack și extensionDependencies, atacatorii distribuie sarcini utile rău intenționate în mod tranzitoriu prin ecosisteme de extensii de încredere.

Campaniile anterioare legate de același actor amenințător au compromis peste 151 de depozite GitHub folosind caractere Unicode invizibile pentru a ascunde codul malițios. În ciuda diferitelor strategii de ofuscare și livrare, toate campaniile se bazează în mod constant pe aceeași infrastructură bazată pe Solana, confirmând un cadru operațional unificat.

Extensii IDE rău intenționate: care vizează mediile dezvoltatorilor

Campania a infiltrat, de asemenea, instrumentele de dezvoltare prin intermediul unei extensii necinstite, identificată drept reditorsupporter.r-vscode-2.8.8-universal, care vizează mediul de dezvoltare Windsurf. Deghizată într-un plugin de suport pentru limbajul R, aceasta implementează un instrument de furt de informații bazat pe Node.js.

Odată instalată, extensia preia payload-uri criptate din tranzacțiile blockchain, le execută în memorie și implementează componente compilate pentru a extrage date sensibile din browserele bazate pe Chromium. Persistența se realizează prin sarcini programate și modificări ale Registrului Windows, asigurând execuția la pornirea sistemului.

Malware-ul vizează în mod specific mediile dezvoltatorilor, excluzând sistemele rusești, oglindind comportamentul observat în alte variante de GlassWorm.

Indicatori de scară și impact

Analiza de securitate indică faptul că această campanie a compromis o parte substanțială a ecosistemului open-source, afectând peste 433 de proiecte pe mai multe platforme. Acestea includ depozite GitHub (Python și JavaScript), extensii VS Code și biblioteci npm.

Toate căile de infectare converg în cele din urmă către implementarea unui instrument de furt de informații bazat pe JavaScript, evidențiind un obiectiv final consecvent de recoltare a acreditărilor și exfiltrare a datelor.

  • Peste 433 de proiecte și pachete compromise confirmate
  • Mai mulți vectori de livrare, inclusiv extensii GitHub, npm și IDE
  • Utilizarea consecventă a infrastructurii blockchain Solana pentru livrarea sarcinilor utile
  • Excluderea repetată a sistemelor rusești în toate variantele

Evaluare strategică: o nouă eră a atacurilor asupra lanțului de aprovizionare

Campania ForceMemo reprezintă o escaladare semnificativă a amenințărilor la adresa lanțului de aprovizionare software. Combinația sa de manipulare ascunsă a istoricului Git, infrastructură C2 bazată pe blockchain și vectori de infecție multiplatformă demonstrează un nivel ridicat de maturitate operațională.

Reutilizarea infrastructurii, alături de mecanismele de livrare în continuă evoluție, indică un adversar adaptiv capabil să extindă atacurile, menținând în același timp persistența și evitarea atacurilor. Această trecere de la compromisuri izolate la intruziuni coordonate, în mai multe ecosisteme, subliniază riscul tot mai mare cu care se confruntă mediile de dezvoltare moderne și comunitățile open-source.

Trending

Escrocherie prin e-mail care resetează automat parola

phishing, Spam
E-mailurile neașteptate care necesită acțiuni imediate ar trebui să ridice întotdeauna suspiciuni. Infractorii cibernetici deghizează frecvent campaniile de phishing în notificări de securitate urgente pentru a presa destinatarii să răspundă fără a verifica sursa. Mesajul „E-mailul va reseta automat parola” este un astfel de exemplu. Deși pare să provină de la un furnizor de servicii de e-mail...

Cele mai văzute

Se încarcă...