Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér GlassWorm

Škodlivý softvér GlassWorm

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Nová vlna kampane malvéru GlassWorm aktívne cieli na dodávateľské reťazce softvéru zneužívaním ukradnutých tokenov GitHub na vstrekovanie škodlivého kódu do stoviek repozitárov. Táto operácia sa primárne zameriava na projekty založené na jazyku Python vrátane aplikácií Django, výskumného kódu strojového učenia, dashboardov Streamlit a balíkov PyPI.

Vektor útoku je klamlivo jednoduchý, no zároveň veľmi účinný: k bežne spúšťaným súborom, ako sú setup.py, main.py a app.py, sa pridáva zahalený malvér. Každý vývojár, ktorý inštaluje závislosti prostredníctvom pip install alebo spúšťa klonovaný kód z kompromitovaného repozitára, nevedomky aktivuje škodlivý softvér.

Tiché prevzatie repozitárov: Technika ForceMemo

Táto evolúcia kampane, teraz označovaná ako ForceMemo, zavádza nenápadnú metódu kompromitovania repozitárov. Útočníci získajú prístup k účtom vývojárov a manipulujú s repozitármi bez zanechania konvenčných stôp.

Prebazovaním legitímnych commitov so škodlivým kódom a ich vynúteným presunutím do predvolenej vetvy útočníci zachovávajú pôvodné metadáta commitov vrátane správy, autora a časovej pečiatky, čím efektívne maskujú narušenie. Tento prístup eliminuje viditeľné indikátory, ako sú žiadosti o zmeny alebo podozrivé histórie commitov, čo výrazne sťažuje ich detekciu.

Reťazec vykonania útoku: Od krádeže prihlasovacích údajov až po doručenie užitočného zaťaženia

Kampaň ForceMemo sa riadi štruktúrovaným a viacstupňovým procesom narušenia:

  • Vývojárske prostredia sú spočiatku napadnuté škodlivým kódom Visual Studio Code a rozšíreniami Cursor, ktoré obsahujú komponenty GlassWorm určené na zhromažďovanie citlivých prihlasovacích údajov vrátane tokenov GitHub.
  • Ukradnuté prihlasovacie údaje sa potom použijú na vloženie obfuskovaných údajov s kódovaním Base64 do súborov Pythonu vo všetkých repozitároch spojených s kompromitovaným účtom.
  • Vstavaný malvér vykonáva kontroly prostredia, pričom sa vyhýba spusteniu na systémoch nakonfigurovaných s ruským nastavením. Potom sa dopýta blockchainovej peňaženky Solana, aby dynamicky načítala URL adresu na doručenie užitočného zaťaženia.
  • Sťahujú sa ďalšie užitočné dáta vrátane šifrovaného JavaScriptu určeného na krádež kryptomien a exfiltráciu údajov.

Velenie a riadenie založené na blockchaine: Odolná infraštruktúra

Charakteristickým znakom tejto kampane je jej spoliehanie sa na blockchain Solana ako mechanizmus Command-and-Control (C2). Namiesto tradičných serverov útočníci ukladajú URL adresy užitočného zaťaženia v poliach transakčných memorátok viazaných na konkrétne adresy peňaženiek.

Analýza odhaľuje, že aktivita spojená s primárnou peňaženkou sa začala už 27. novembra 2025, mesiace predtým, ako boli pozorované kompromitácie repozitárov. Peňaženka spracovala desiatky transakcií, pričom umiestnenie dát sa často aktualizovalo, niekedy aj viackrát denne. Tento decentralizovaný prístup zvyšuje odolnosť a komplikuje úsilie o odstránenie.

Rozšírenie útočnej plochy: npm a infekcie naprieč ekosystémami

Kampaň sa rozšírila za hranice ekosystémov Pythonu aj do dodávateľských reťazcov JavaScriptu. Dva balíky React Native npm, react-native-international-phone-number (verzia 0.11.8) a react-native-country-select (verzia 0.3.91), boli dočasne napadnuté a distribuované s vloženým malvérom.

Tieto škodlivé verzie zaviedli predinštalačné hooky spúšťajúce zahalený JavaScript, ktorý iniciuje podobný reťazec infekcie. Malvér sa opäť vyhýba ruským systémom, získava inštrukcie pre užitočné zaťaženie prostredníctvom peňaženky Solana a nasadzuje hrozby špecifické pre platformu.

Vykonávanie prebieha výlučne v pamäti pomocou techník za behu, ako je eval() alebo sandboxing v Node.js, čím sa zanechávajú minimálne forenzné artefakty. Mechanizmus perzistencie navyše zabraňuje opätovnej infekcii v rámci 48-hodinového okna uložením časovej pečiatky lokálne.

Pokročilé taktiky úniku a distribúcie

Nedávne iterácie vírusu GlassWorm demonštrujú zvýšenú sofistikovanosť v doručovaní a skrývaní. Využitím mechanizmov extensionPack a extensionDependencies útočníci distribuujú škodlivé dáta tranzitívne prostredníctvom dôveryhodných ekosystémov rozšírení.

Skoršie kampane prepojené s rovnakým aktérom hrozby napadli viac ako 151 repozitárov GitHub pomocou neviditeľných znakov Unicode na skrytie škodlivého kódu. Napriek rôznym stratégiám obfuskácie a doručovania sa všetky kampane konzistentne spoliehajú na rovnakú infraštruktúru založenú na platforme Solana, čo potvrdzuje jednotný operačný rámec.

Škodlivé rozšírenia IDE: Zacielenie na vývojárske prostredia

Kampaň infiltrovala aj vývojárske nástroje prostredníctvom podvodného rozšírenia identifikovaného ako reditorsupporter.r-vscode-2.8.8-universal, ktoré je zamerané na vývojové prostredie Windsurf. Maskované ako plugin pre podporu jazyka R, nasadzuje nástroj na krádež informácií založený na Node.js.

Po nainštalovaní rozšírenie načíta šifrované dáta z blockchainových transakcií, spustí ich v pamäti a nasadí skompilované komponenty na extrahovanie citlivých údajov z prehliadačov založených na prehliadači Chromium. Trvalosť sa dosahuje prostredníctvom naplánovaných úloh a úprav registra systému Windows, čím sa zabezpečí ich spustenie pri spustení systému.

Malvér sa špecificky zameriava na vývojárske prostredia, pričom vylučuje ruské systémy, čím odzrkadľuje správanie pozorované aj v iných variantoch GlassWorm.

Ukazovatele rozsahu a vplyvu

Bezpečnostná analýza naznačuje, že kampaň ohrozila podstatnú časť ekosystému open source a ovplyvnila viac ako 433 projektov na viacerých platformách. Patria sem repozitáre GitHub (Python a JavaScript), rozšírenia VS Code a knižnice npm.

Všetky cesty infekcie sa nakoniec zbiehajú k nasadeniu nástroja na krádež informácií založeného na JavaScripte, čo zdôrazňuje konzistentný konečný cieľ zberu poverení a exfiltrácie údajov.

  • Viac ako 433 potvrdených kompromitovaných projektov a balíkov
  • Viaceré vektory doručovania vrátane rozšírení GitHub, npm a IDE
  • Konzistentné využívanie blockchainovej infraštruktúry Solana na doručovanie dát
  • Opakované vylúčenie ruských systémov vo všetkých variantoch

Strategické hodnotenie: Nová éra útokov na dodávateľský reťazec

Kampaň ForceMemo predstavuje významnú eskaláciu hrozieb v dodávateľskom reťazci softvéru. Jej kombinácia nenápadnej manipulácie s históriou Gitu, infraštruktúry C2 založenej na blockchaine a vektorov infekcie naprieč platformami demonštruje vysokú úroveň operačnej zrelosti.

Opätovné použitie infraštruktúry spolu s vyvíjajúcimi sa mechanizmami doručovania naznačuje adaptívneho protivníka schopného škálovať útoky a zároveň si zachovať vytrvalosť a únik. Tento posun od izolovaných kompromisov ku koordinovaným, viacekosystémovým prienikom podčiarkuje rastúce riziko, ktorému čelia moderné vývojové prostredia a komunity s otvoreným zdrojovým kódom.

Trendy

E-mail automaticky obnoví heslo – podvod s e-mailom

Phishing, Spam
Neočakávané e-maily, ktoré vyžadujú okamžitú akciu, by mali vždy vzbudiť podozrenie. Kyberzločinci často maskujú phishingové kampane ako urgentné bezpečnostné upozornenia, aby donútili príjemcov odpovedať bez overenia zdroja. Jedným z takýchto príkladov je správa „E-mail sa automaticky obnoví heslo“. Hoci sa zdá, že pochádza od legitímneho poskytovateľa e-mailových služieb, vyšetrovania...

Ledger - Zistená podozrivá aktivita na DEX -...

Phishing, Spam
Neočakávané e-maily, ktoré tvrdia, že majú naliehavé bezpečnostné problémy, by sa mali vždy brať opatrne. Kyberzločinci sa často vydávajú za známe značky, aby vyvolali paniku a donútili príjemcov, aby rýchlo konali. Jedným z takýchto príkladov je takzvaný e-mail s názvom „Ledger - Zistená podozrivá aktivita na DEX“. Napriek tomu, že správy vyzerajú, že pochádzajú od spoločnosti Ledger, nie sú...

Najviac videné

Načítava...