Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema GlassWorm

Zlonamerna programska oprema GlassWorm

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Nov val kampanje zlonamerne programske opreme GlassWorm aktivno cilja na dobavne verige programske opreme z izkoriščanjem ukradenih žetonov GitHub za vbrizgavanje zlonamerne kode v stotine repozitorijev. Ta operacija se osredotoča predvsem na projekte, ki temeljijo na Pythonu, vključno z aplikacijami Django, raziskovalno kodo strojnega učenja, nadzornimi ploščami Streamlit in paketi PyPI.

Vektor napada je varljivo preprost, a zelo učinkovit: pogosto izvajanim datotekam, kot so setup.py, main.py in app.py, se doda zakrita zlonamerna programska oprema. Vsak razvijalec, ki namesti odvisnosti prek pip install ali izvede klonirano kodo iz ogroženega repozitorija, nevede aktivira zlonamerno programsko opremo.

Tihi prevzemi repozitorij: tehnika ForceMemo

Ta nadgradnja kampanje, zdaj znana kot ForceMemo, uvaja prikrito metodo ogrožanja repozitorijev. Grožnje pridobijo dostop do računov razvijalcev in manipulirajo z repozitoriji, ne da bi pustili običajne sledi.

Z vnašanjem zlonamerne kode v legitimne zapise in njihovim prisilnim premikanjem na privzeto vejo napadalci ohranijo izvirne metapodatke zapisov, vključno s sporočilom, avtorjem in časovnim žigom, s čimer učinkovito prikrijejo vdor. Ta pristop odpravlja vidne kazalnike, kot so zahteve za vlečenje ali sumljive zgodovine zapisov, zaradi česar je odkrivanje bistveno težje.

Veriga izvedbe napada: od kraje poverilnic do dostave koristnega tovora

Kampanja ForceMemo sledi strukturiranemu in večstopenjskemu procesu vdora:

  • Razvijalska okolja so sprva ogrožena zaradi zlonamernih razširitev Visual Studio Code in Cursor, ki vsebujejo komponente GlassWorm, namenjene zbiranju občutljivih poverilnic, vključno z žetoni GitHub.
  • Ukradene poverilnice se nato uporabijo za vbrizgavanje zakritih koristnih podatkov, kodiranih v Base64, v datoteke Python v vseh repozitorijih, povezanih z ogroženim računom.
  • Vgrajena zlonamerna programska oprema izvaja preverjanja okolja, pri čemer se predvsem izogiba izvajanju v sistemih, konfiguriranih z rusko lokacijo. Nato poizveduje po denarnici Solana blockchain, da dinamično pridobi URL za dostavo koristnega tovora.
  • Prenesejo se dodatni koristni tovori, vključno s šifriranim JavaScriptom, zasnovanim za krajo kriptovalut in izbruh podatkov.

Vodenje in nadzor na osnovi veriženja blokov: odporna infrastruktura

Opredeljujoča značilnost te kampanje je njena odvisnost od verige blokov Solana kot mehanizma vodenja in nadzora (C2). Namesto tradicionalnih strežnikov napadalci shranjujejo URL-je koristnih podatkov znotraj polj za beleženje transakcij, ki so vezana na določene naslove denarnic.

Analiza razkriva, da se je aktivnost, povezana s primarno denarnico, začela že 27. novembra 2025, mesece preden so bile opažene kršitve repozitorija. Denarnica je obdelala na desetine transakcij, lokacije koristnih podatkov pa so se pogosto posodabljale, včasih večkrat na dan. Ta decentraliziran pristop povečuje odpornost in otežuje prizadevanja za odstranitev.

Razširitev površine napada: npm in okužbe med ekosistemi

Kampanja se je razširila izven ekosistemov Pythona v dobavne verige JavaScripta. Dva paketa React Native npm, react-native-international-phone-number (različica 0.11.8) in react-native-country-select (različica 0.3.91), sta bila začasno ogrožena in distribuirana z vdelano zlonamerno programsko opremo.

Te zlonamerne različice so uvedle prednamestitvene kavlje, ki izvajajo zakrit JavaScript, kar sproži podobno verigo okužb. Zlonamerna programska oprema se spet izogiba ruskim sistemom, pridobiva navodila za koristni tovor prek denarnice Solana in namešča grožnje, specifične za platformo.

Izvajanje se v celoti izvaja v pomnilniku z uporabo tehnik izvajanja, kot sta eval() ali Node.js sandbox, kar pušča minimalne forenzične artefakte. Poleg tega mehanizem vztrajnosti preprečuje ponovno okužbo v 48-urnem oknu z lokalnim shranjevanjem časovnega žiga.

Napredne taktike izogibanja in distribucije

Nedavne različice GlassWorma kažejo na večjo prefinjenost pri dostavi in prikrivanju. Z izkoriščanjem mehanizmov extensionPack in extensionDependencies napadalci tranzitivno distribuirajo zlonamerne koristne tovore prek zaupanja vrednih ekosistemov razširitev.

Prejšnje kampanje, povezane z istim akterjem, so ogrozile več kot 151 repozitorijev GitHub z uporabo nevidnih znakov Unicode za skrivanje zlonamerne kode. Kljub različnim strategijam zakrivanja in dostave se vse kampanje dosledno zanašajo na isto infrastrukturo, ki temelji na Solani, kar potrjuje enoten operativni okvir.

Zlonamerne razširitve IDE: ciljanje na razvijalska okolja

Kampanja je vdrla tudi v razvojna orodja prek lažne razširitve reditorsupporter.r-vscode-2.8.8-universal, ki cilja na integrirano razvojno okolje Windsurf. Prikrita je kot vtičnik za podporo jeziku R in uporablja program za krajo informacij, ki temelji na Node.js.

Ko je nameščena, razširitev pridobi šifrirane koristne podatke iz transakcij veriženja blokov, jih izvede v pomnilniku in namesti prevedene komponente za pridobivanje občutljivih podatkov iz brskalnikov, ki temeljijo na Chromiumu. Vztrajnost se doseže z načrtovanimi opravili in spremembami registra sistema Windows, kar zagotavlja izvajanje ob zagonu sistema.

Zlonamerna programska oprema cilja posebej na razvijalska okolja, pri čemer izključuje ruske sisteme, kar odraža vedenje, opaženo pri drugih različicah GlassWorma.

Kazalniki obsega in vpliva

Varnostna analiza kaže, da je kampanja ogrozila znaten del odprtokodnega ekosistema in prizadela več kot 433 projektov na več platformah. Mednje spadajo repozitorij GitHub (Python in JavaScript), razširitve VS Code in knjižnice npm.

Vse poti okužbe se na koncu zbližajo z uporabo programa za krajo informacij, ki temelji na JavaScriptu, kar poudarja dosleden končni cilj zbiranja poverilnic in izkrcanja podatkov.

  • Več kot 433 potrjenih ogroženih projektov in paketov
  • Več vektorjev dostave, vključno z razširitvami GitHub, npm in IDE
  • Dosledna uporaba infrastrukture veriženja blokov Solana za dostavo koristnih vsebin
  • Ponavljajoča se izključitev ruskih sistemov v vseh različicah

Strateška ocena: nova doba napadov na dobavno verigo

Kampanja ForceMemo predstavlja znatno stopnjevanje groženj v dobavni verigi programske opreme. Njena kombinacija prikrite manipulacije zgodovine Gita, infrastrukture C2, ki temelji na tehnologiji veriženja blokov, in vektorjev okužb med platformami kaže na visoko stopnjo operativne zrelosti.

Ponovna uporaba infrastrukture skupaj z razvijajočimi se mehanizmi dostave kaže na prilagodljivega nasprotnika, ki je sposoben skalirati napade, hkrati pa ohranjati vztrajnost in izogibanje. Ta premik od izoliranih kompromisov k usklajenim vdorom v več ekosistemov poudarja naraščajoče tveganje, s katerim se soočajo sodobna razvojna okolja in skupnosti odprte kode.

V trendu

E-pošta bo samodejno ponastavila geslo - prevara z...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki zahtevajo takojšnje ukrepanje, bi morala vedno vzbuditi sum. Kibernetski kriminalci pogosto prikrivajo kampanje lažnega predstavljanja kot nujna varnostna obvestila, da bi prejemnike prisilili k odgovoru, ne da bi preverili vir. Sporočilo »E-pošta bo samodejno ponastavila geslo« je en tak primer. Čeprav se zdi, da prihaja od legitimnega ponudnika e-poštnih...

Ledger - Zaznana sumljiva aktivnost DEX - e-poštna...

Lažno predstavljanje, Neželena pošta
Nepričakovana e-poštna sporočila, ki trdijo, da gre za nujne varnostne težave, je treba vedno obravnavati previdno. Kibernetski kriminalci se pogosto izdajajo za znane blagovne znamke, da bi ustvarili paniko in prisilili prejemnike, da hitro ukrepajo. Tako imenovano e-poštno sporočilo »Ledger - Zaznana sumljiva dejavnost DEX« je en tak primer. Čeprav se zdi, da prihajajo od Ledgerja, sporočila...

Najbolj gledan

Nalaganje...