Попуст за више лиценци
Тхреат Датабасе Малваре Злонамерни софтвер GlassWorm

Злонамерни софтвер GlassWorm

До Mezo. у Малваре, Напредна трајна претња (АПТ)
Преведи на:

Нови талас кампање злонамерног софтвера GlassWorm активно циља ланце снабдевања софтвером искоришћавајући украдене GitHub токене за убризгавање злонамерног кода у стотине репозиторијума. Ова операција се првенствено фокусира на пројекте засноване на Пајтону, укључујући Django апликације, истраживачки код за машинско учење, Streamlit контролне табле и PyPI пакете.

Вектор напада је варљиво једноставан, али веома ефикасан: замаскирани злонамерни софтвер се додаје често извршаваним датотекама као што су setup.py, main.py и app.py. Сваки програмер који инсталира зависности путем pip install-а или извршава клонирани код из компромитованог репозиторијума несвесно активира злонамерни пакет.

Тихо преузимање спремишта: Техника ForceMemo

Ова еволуција кампање, сада позната као ForceMemo, уводи прикривени метод угрожавања репозиторијума. Претње добијају приступ програмерским налозима и манипулишу репозиторијумима без остављања конвенционалних трагова.

Ребазирањем легитимних измена (commit) са злонамерним кодом и њиховим присилним премештањем на подразумевану грану, нападачи чувају оригиналне метаподатке измена, укључујући поруку, аутора и временску ознаку, ефикасно маскирајући упад. Овај приступ елиминише видљиве индикаторе као што су захтеви за повлачење (pull requests) или сумњиве историје измена, што знатно отежава откривање.

Ланац извршења напада: Од крађе акредитива до испоруке корисног терета

Кампања ForceMemo прати структурирани и вишестепени процес упада:

  • Програмерска окружења су иницијално угрожена злонамерним Visual Studio Code и Cursor екстензијама које носе GlassWorm компоненте дизајниране за прикупљање осетљивих акредитива, укључујући GitHub токене.
  • Украдени акредитиви се затим користе за убризгавање обфусцираних корисних оптерећења кодираних у Base64 формату у Пајтон датотеке у свим спремиштима повезаним са угроженим налогом.
  • Уграђени злонамерни софтвер врши провере окружења, посебно избегавајући извршавање на системима конфигурисаним са руским локалним подешавањима. Затим упућује упит Solana blockchain новчанику како би динамички преузео URL адресу за испоруку корисног садржаја.
  • Преузимају се додатни корисни терет, укључујући шифровани ЈаваСкрипт дизајниран за крађу криптовалута и извлачење података.

Командовање и контрола заснована на блокчејну: Отпорна инфраструктура

Одлика ове кампање је њено ослањање на Solana блокчејн као механизам командовања и контроле (C2). Уместо традиционалних сервера, нападачи чувају URL-ове корисног терета унутар поља меморандума о трансакцијама везаних за одређене адресе новчаника.

Анализа открива да је активност повезана са примарним новчаником почела већ 27. новембра 2025. године, месецима пре него што су примећени компромиси у репозиторијуму. Новчаник је обрадио десетине трансакција, а локације корисног терета су се често ажурирале, понекад и више пута дневно. Овај децентрализовани приступ повећава отпорност и компликује напоре за уклањање.

Проширивање површине напада: npm и инфекције између екосистема

Кампања се проширила изван Пајтон екосистема на ланце снабдевања Јаваскриптом. Два React Native npm пакета, react-native-international-phone-number (верзија 0.11.8) и react-native-country-select (верзија 0.3.91), била су привремено компромитована и дистрибуирана са уграђеним злонамерним софтвером.

Ове злонамерне верзије су увеле преинсталационе куке које извршавају замаскирани Јаваскрипт који покреће сличан ланац инфекције. Злонамерни софтвер поново избегава руске системе, преузима инструкције за корисни оптерећење путем Солана новчаника и поставља претње специфичне за платформу.

Извршавање се у потпуности одвија у меморији коришћењем техника извршавања као што су eval() или Node.js sandboxing, остављајући минималне форензичке артефакте. Поред тога, механизам перзистентности спречава поновну инфекцију у року од 48 сати локалним чувањем временске ознаке.

Напредне тактике избегавања и дистрибуције

Недавне верзије GlassWorm-а показују повећану софистицираност у испоруци и прикривању. Коришћењем механизама extensionPack и extensionDependencies, нападачи дистрибуирају злонамерне корисне терете транзитивно кроз поуздане екосистеме екстензија.

Раније кампање повезане са истим актером претње компромитовале су преко 151 GitHub репозиторијума користећи невидљиве Unicode знакове како би сакриле злонамерни код. Упркос различитим стратегијама замагљивања и испоруке, све кампање се доследно ослањају на исту инфраструктуру засновану на Solana-и, што потврђује јединствени оперативни оквир.

Злонамерна IDE проширења: Циљање програмерских окружења

Кампања је такође инфилтрирала алате за развој путем лажног проширења идентификованог као reditorsupporter.r-vscode-2.8.8-universal, циљајући Windsurf IDE. Прерушен у додатак за подршку језика R, користи крађу информација засновану на Node.js-у.

Једном инсталирано, проширење преузима шифроване корисне податке из блокчејн трансакција, извршава их у меморији и распоређује компајлиране компоненте за издвајање осетљивих података из прегледача заснованих на Chromium-у. Перзистентност се постиже заказаним задацима и изменама Windows регистра, осигуравајући извршавање након покретања система.

Злонамерни софтвер посебно циља програмерска окружења, док искључује руске системе, одражавајући понашање примећено код других варијанти GlassWorm-а.

Индикатори обима и утицаја

Безбедносна анализа показује да је кампања угрозила значајан део екосистема отвореног кода, утичући на више од 433 пројекта на више платформи. То укључује GitHub репозиторијуме (Python и JavaScript), VS Code екстензије и npm библиотеке.

Сви путеви инфекције се на крају конвергирају око примене крађе информација засноване на ЈаваСкрипту, што истиче доследан крајњи циљ прикупљања акредитива и крађе података.

  • Преко 433 потврђених компромитованих пројеката и пакета
  • Вишеструки вектори испоруке, укључујући GitHub, npm и IDE екстензије
  • Доследна употреба Солана блокчејн инфраструктуре за испоруку корисних података
  • Поновљено искључивање руских система у свим варијантама

Стратешка процена: Нова ера напада на ланац снабдевања

Кампања ForceMemo представља значајну ескалацију претњи ланцу снабдевања софтвером. Њена комбинација прикривене манипулације историјом Гита, C2 инфраструктуре засноване на блокчејну и вектора инфекције на више платформи показује висок ниво оперативне зрелости.

Поновна употреба инфраструктуре, заједно са еволуирајућим механизмима испоруке, указује на адаптивног противника способног да скалира нападе уз одржавање истрајности и избегавања. Овај помак од изолованих компромиса ка координисаним, вишеекосистемским упадима наглашава растући ризик са којим се суочавају модерна развојна окружења и заједнице отвореног кода.

У тренду

Е-пошта ће аутоматски ресетовати лозинку - превара...

Пецање, Спам
Неочекивани имејлови који захтевају хитну акцију увек треба да изазову сумњу. Сајбер криминалци често прикривају фишинг кампање као хитна безбедносна обавештења како би извршили притисак на примаоце да одговоре без провере извора. Порука „Имејл ће се аутоматски ресетовати лозинком“ је један такав пример. Иако изгледа да долази од легитимног добављача имејл услуга, истраге показују да ови...

Леџер - Откривена сумњива DEX активност, превара...

Пецање, Спам
Неочекиване имејлове који тврде да постоје хитни безбедносни проблеми увек треба третирати са опрезом. Сајбер криминалци се често представљају као познати брендови како би створили панику и извршили притисак на примаоце да брзо реагују. Такозвани имејл „Ledger - Откривена сумњива DEX активност“ је један такав пример. Упркос томе што изгледа као да долазе од Ledger-а, поруке нису повезане са...

Најгледанији

Учитавање...