Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware GlassWorm Malware

GlassWorm Malware

Nga MezoMalware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Një valë e re e fushatës së malware-it GlassWorm po synon në mënyrë aktive zinxhirët e furnizimit me softuer duke shfrytëzuar token-et e vjedhura të GitHub për të injektuar kod të dëmshëm në qindra depo. Ky operacion përqendrohet kryesisht në projekte të bazuara në Python, duke përfshirë aplikacionet Django, kodin e kërkimit të të mësuarit automatik, panelet Streamlit dhe paketat PyPI.

Vektori i sulmit është mashtrueshëm i thjeshtë, por shumë efektiv: programi keqdashës i turbullt i shtohet skedarëve të ekzekutuar zakonisht si setup.py, main.py dhe app.py. Çdo zhvillues që instalon varësi nëpërmjet instalimit pip ose ekzekuton kod të klonuar nga një depo e kompromentuar, pa e ditur aktivizon ngarkesën keqdashëse.

Marrja nën kontroll e depozitave të heshtura: Teknika ForceMemo

Ky evolucion i fushatës, që tani njihet si ForceMemo, prezanton një metodë të fshehtë për kompromentimin e depove. Aktorët kërcënues fitojnë akses në llogaritë e zhvilluesve dhe manipulojnë depot pa lënë gjurmë konvencionale.

Duke i ribazuar lidhjet legjitime me kod keqdashës dhe duke i shtyrë ato me forcë në degën e parazgjedhur, sulmuesit ruajnë meta të dhënat origjinale të lidhjeve, duke përfshirë mesazhin, autorin dhe vulën kohore, duke maskuar në mënyrë efektive ndërhyrjen. Kjo qasje eliminon treguesit e dukshëm siç janë kërkesat për tërheqje ose historitë e dyshimta të lidhjeve, duke e bërë zbulimin dukshëm më të vështirë.

Zinxhiri i Ekzekutimit të Sulmit: Nga Vjedhja e Kredencialeve deri te Dorëzimi i Ngarkesës

Fushata ForceMemo ndjek një proces ndërhyrjeje të strukturuar dhe shumëfazësh:

  • Mjediset e zhvilluesve fillimisht kompromentohen përmes Kodit të dëmshëm të Visual Studio dhe zgjerimeve të Cursor që mbajnë komponentë GlassWorm të dizajnuar për të mbledhur kredenciale të ndjeshme, duke përfshirë tokenët GitHub.
  • Kredencialet e vjedhura përdoren më pas për të injektuar ngarkesa të koduara nga Base64 të turbullta në skedarët Python në të gjitha depot e lidhura me llogarinë e kompromentuar.
  • Malware-i i integruar kryen kontrolle të mjedisit, duke shmangur veçanërisht ekzekutimin në sisteme të konfiguruara me një gjuhë ruse. Pastaj pyet një portofol blloku Solana për të marrë dinamikisht URL-në e dorëzimit të ngarkesës.
  • Shkarkohen ngarkesa shtesë, duke përfshirë JavaScript të enkriptuar të projektuar për vjedhjen e kriptovalutave dhe nxjerrjen e të dhënave.

Komanda dhe Kontrolli i Bazuar në Blockchain: Një Infrastrukturë Rezistente

Një karakteristikë përcaktuese e kësaj fushate është mbështetja e saj në zinxhirin e zinxhirit Solana si një mekanizëm Komandë-dhe-Kontroll (C2). Në vend të serverave tradicionalë, sulmuesit ruajnë URL-të e ngarkesës brenda fushave të memove të transaksionit të lidhura me adresa specifike të portofoleve.

Analiza zbulon se aktiviteti i lidhur me portofolin kryesor filloi që më 27 nëntor 2025, muaj para se të vëreheshin kompromentime të depozitës. Portofoli ka përpunuar dhjetëra transaksione, me vendndodhje të ngarkesës së të dhënave të përditësuara shpesh, ndonjëherë disa herë në ditë. Kjo qasje e decentralizuar rrit qëndrueshmërinë dhe ndërlikon përpjekjet për heqjen e tyre.

Zgjerimi i Sipërfaqes së Sulmit: npm dhe Infeksionet Ndër-Ekosistemike

Fushata është zgjeruar përtej ekosistemeve Python në zinxhirët e furnizimit me JavaScript. Dy paketa npm të React Native, react-native-international-phone-number (versioni 0.11.8) dhe react-native-country-select (versioni 0.3.91), u kompromentuan përkohësisht dhe u shpërndanë me malware të integruar.

Këto versione keqdashëse futën grepa para-instalimesh që ekzekutojnë JavaScript të turbullt që fillon një zinxhir të ngjashëm infeksioni. Malware përsëri shmang sistemet ruse, merr udhëzime për ngarkesën e të dhënave nëpërmjet një portofoli Solana dhe vendos kërcënime specifike për platformën.

Ekzekutimi ndodh tërësisht në memorie duke përdorur teknika të kohës së ekzekutimit si eval() ose Node.js sandboxing, duke lënë artefakte minimale forenzike. Përveç kësaj, një mekanizëm persistence parandalon ri-infektimin brenda një dritareje 48-orëshe duke ruajtur një pullë kohore në nivel lokal.

Taktika të Avancuara të Shmangies dhe Shpërndarjes

Versionet e fundit të GlassWorm demonstrojnë sofistikim të shtuar në shpërndarje dhe fshehje. Duke shfrytëzuar mekanizmat extensionPack dhe extensionDependencies, sulmuesit shpërndajnë ngarkesa dashakeqe në mënyrë tranzitive përmes ekosistemeve të besueshme të zgjerimeve.

Fushatat e mëparshme të lidhura me të njëjtin aktor kërcënimi kompromentuan mbi 151 depo GitHub duke përdorur karaktere të padukshme Unicode për të fshehur kodin keqdashës. Pavarësisht strategjive të ndryshme të errësimit dhe shpërndarjes, të gjitha fushatat mbështeten vazhdimisht në të njëjtën infrastrukturë të bazuar në Solana, duke konfirmuar një kornizë të unifikuar operative.

Zgjerime keqdashëse të IDE-së: Synimi i mjediseve të zhvilluesve

Fushata ka infiltruar gjithashtu mjetet e zhvillimit përmes një zgjerimi mashtrues të identifikuar si reditorsupporter.r-vscode-2.8.8-universal, duke synuar Windsurf IDE. I maskuar si një plugin që mbështet gjuhën R, ai vendos një vjedhës informacioni të bazuar në Node.js.

Pasi instalohet, zgjerimi merr ngarkesa të enkriptuara nga transaksionet e blockchain-it, i ekzekuton ato në memorie dhe vendos komponentë të kompiluar për të nxjerrë të dhëna të ndjeshme nga shfletuesit e bazuar në Chromium. Qëndrueshmëria arrihet përmes detyrave të planifikuara dhe modifikimeve të Regjistrit të Windows, duke siguruar ekzekutimin pas nisjes së sistemit.

Malware synon posaçërisht mjediset e zhvilluesve, duke përjashtuar sistemet ruse, duke pasqyruar sjelljen e vërejtur në variantet e tjera të GlassWorm.

Treguesit e Shkallës dhe Ndikimit

Analiza e sigurisë tregon se fushata ka kompromentuar një pjesë të konsiderueshme të ekosistemit me burim të hapur, duke prekur më shumë se 433 projekte në platforma të shumta. Këto përfshijnë depo GitHub (Python dhe JavaScript), zgjerime VS Code dhe librari npm.

Të gjitha rrugët e infeksionit në fund të fundit konvergojnë në vendosjen e një vjedhësi informacioni të bazuar në JavaScript, duke nxjerrë në pah një qëllim përfundimtar të qëndrueshëm të mbledhjes së kredencialeve dhe nxjerrjes së të dhënave.

  • Mbi 433 projekte dhe paketa të konfirmuara të kompromentuara
  • Vektorë të shumtë shpërndarjeje duke përfshirë zgjerimet GitHub, npm dhe IDE
  • Përdorimi i vazhdueshëm i infrastrukturës së blockchain Solana për shpërndarjen e ngarkesës
  • Përjashtim i përsëritur i sistemeve ruse në të gjitha variantet

Vlerësimi Strategjik: Një Epokë e Re e Sulmeve në Zinxhirin e Furnizimit

Fushata ForceMemo përfaqëson një përshkallëzim të konsiderueshëm të kërcënimeve ndaj zinxhirit të furnizimit të softuerëve. Kombinimi i saj i manipulimit të fshehtë të historikut të Git, infrastrukturës C2 të bazuar në blockchain dhe vektorëve të infeksionit ndërplatformor tregon një nivel të lartë pjekurie operacionale.

Ripërdorimi i infrastrukturës së bashku me mekanizmat në zhvillim të ofrimit tregon një kundërshtar adaptiv të aftë për të shkallëzuar sulmet duke ruajtur këmbënguljen dhe shmangien. Ky ndryshim nga kompromiset e izoluara në ndërhyrje të koordinuara dhe shumëekosistemesh nënvizon rrezikun në rritje me të cilin përballen mjediset moderne të zhvillimit dhe komunitetet me burim të hapur.

Në trend

Mashtrimi me email do të rivendosë automatikisht...

Fishing, Spam
Emailet e papritura që kërkojnë veprim të menjëhershëm duhet të ngjallin gjithmonë dyshime. Kriminelët kibernetikë shpesh i maskojnë fushatat e phishing-ut si njoftime urgjente sigurie për t'i detyruar marrësit të përgjigjen pa verifikuar burimin. Mesazhi "Email-i do të rivendosë automatikisht fjalëkalimin" është një shembull i tillë. Edhe pse duket se vjen nga një ofrues legjitim i shërbimit...

Ledger - Zbulohet aktivitet i dyshimtë DEX, mashtrim...

Fishing, Spam
Emailet e papritura që pretendojnë çështje urgjente sigurie duhet të trajtohen gjithmonë me kujdes. Kriminelët kibernetikë shpesh imitojnë markat e njohura në mënyrë që të krijojnë panik dhe t'i bëjnë presion marrësve që të veprojnë shpejt. Emaili i ashtuquajtur 'Ledger - U zbulua aktivitet i dyshimtë DEX' është një shembull i tillë. Pavarësisht se duket se vijnë nga Ledger, mesazhet nuk...

Më e shikuara

Po ngarkohet...