கிளாஸ்வோர்ம் மால்வேர்
கிளாஸ்வோர்ம் தீம்பொருள் தாக்குதலின் ஒரு புதிய அலை, திருடப்பட்ட கிட்ஹப் டோக்கன்களைப் பயன்படுத்தி நூற்றுக்கணக்கான களஞ்சியங்களில் தீங்கிழைக்கும் குறியீட்டைச் செலுத்துவதன் மூலம் மென்பொருள் விநியோகச் சங்கிலிகளைத் தீவிரமாகக் குறிவைக்கிறது. இந்தச் செயல்பாடு முதன்மையாக பைதான் அடிப்படையிலான திட்டங்களான ஜாங்கோ பயன்பாடுகள், இயந்திர கற்றல் ஆராய்ச்சிக் குறியீடு, ஸ்ட்ரீம்லிட் டாஷ்போர்டுகள் மற்றும் பைபிஐ தொகுப்புகள் ஆகியவற்றில் கவனம் செலுத்துகிறது.
இந்தத் தாக்குதல் முறை ஏமாற்றும் விதத்தில் எளிமையானதாக இருந்தாலும், மிகவும் சக்தி வாய்ந்தது: setup.py, main.py, மற்றும் app.py போன்ற பொதுவாக இயக்கப்படும் கோப்புகளில், தெளிவற்ற தீம்பொருள் சேர்க்கப்படுகிறது. pip install வழியாக சார்புநிலைகளை நிறுவும் அல்லது சமரசம் செய்யப்பட்ட களஞ்சியத்திலிருந்து நகலெடுக்கப்பட்ட குறியீட்டை இயக்கும் எந்தவொரு டெவலப்பரும், தங்களுக்குத் தெரியாமலேயே அந்தத் தீங்கிழைக்கும் பேலோடைச் செயல்படுத்துகிறார்.
பொருளடக்கம்
மௌன களஞ்சியக் கையகப்படுத்தல்கள்: ஃபோர்ஸ்மெமோ நுட்பம்
தற்போது ஃபோர்ஸ்மெமோ (ForceMemo) எனக் குறிப்பிடப்படும் இந்தத் தாக்குதல் முறையின் பரிணாம வளர்ச்சியானது, களஞ்சியங்களை ஊடுருவுவதற்கான ஒரு மறைமுகமான முறையை அறிமுகப்படுத்துகிறது. அச்சுறுத்தல் செய்பவர்கள், வழக்கமான தடயங்களை விட்டுச் செல்லாமல், டெவலப்பர் கணக்குகளை அணுகி களஞ்சியங்களைக் கையாளுகிறார்கள்.
முறையான கமிட்களைத் தீங்கிழைக்கும் குறியீட்டுடன் ரீபேஸ் செய்து, அவற்றை டிஃபால்ட் பிராஞ்சிற்கு ஃபோர்ஸ்-புஷ் செய்வதன் மூலம், தாக்குபவர்கள் மெசேஜ், ஆத்தர் மற்றும் டைம்ஸ்டாம்ப் உள்ளிட்ட அசல் கமிட் மெட்டாடேட்டாவைப் பாதுகாத்து, ஊடுருவலைத் திறம்பட மறைக்கின்றனர். இந்த அணுகுமுறை, புல் ரிக்வெஸ்ட்கள் அல்லது சந்தேகத்திற்கிடமான கமிட் ஹிஸ்டரிகள் போன்ற புலப்படும் குறிகாட்டிகளை நீக்கிவிடுவதால், கண்டறிவதை மிகவும் கடினமாக்குகிறது.
தாக்குதல் செயல்படுத்தும் சங்கிலி: நற்சான்றிதழ் திருட்டிலிருந்து இலக்கு விநியோகம் வரை
ஃபோர்ஸ்மெமோ பிரச்சாரமானது, கட்டமைக்கப்பட்ட மற்றும் பல கட்டங்களைக் கொண்ட ஊடுருவல் செயல்முறையைப் பின்பற்றுகிறது:
- GitHub டோக்கன்கள் உட்பட, முக்கியமான சான்றுகளைச் சேகரிப்பதற்காக வடிவமைக்கப்பட்ட GlassWorm கூறுகளைக் கொண்ட தீங்கிழைக்கும் Visual Studio Code மற்றும் Cursor நீட்டிப்புகள் மூலம், டெவலப்பர் சூழல்கள் ஆரம்பத்தில் ஊடுருவப்படுகின்றன.
- திருடப்பட்ட சான்றுகளைப் பயன்படுத்தி, பாதிக்கப்பட்ட கணக்குடன் தொடர்புடைய அனைத்து களஞ்சியங்களிலும் உள்ள பைதான் கோப்புகளில், தெளிவற்ற Base64 குறியாக்கம் செய்யப்பட்ட தரவுகள் உட்செலுத்தப்படுகின்றன.
- உட்பொதிக்கப்பட்ட தீம்பொருளானது சூழல் சோதனைகளை மேற்கொள்கிறது, குறிப்பாக ரஷ்ய மொழி அமைப்பில் கட்டமைக்கப்பட்ட கணினிகளில் செயல்படுவதைத் தவிர்க்கிறது. பின்னர் அது, தரவு விநியோக URL-ஐ மாறும் தன்மையுடன் பெறுவதற்காக ஒரு சோலானா பிளாக்செயின் வாலட்டிடம் வினவுகிறது.
- கிரிப்டோகரன்சி திருட்டு மற்றும் தரவுக் கசிவுக்காக வடிவமைக்கப்பட்ட மறைகுறியாக்கப்பட்ட ஜாவாஸ்கிரிப்ட் உள்ளிட்ட கூடுதல் கோப்புகள் பதிவிறக்கம் செய்யப்படுகின்றன.
பிளாக்செயின் அடிப்படையிலான கட்டளை மற்றும் கட்டுப்பாடு: ஒரு மீள்திறன் மிக்க உள்கட்டமைப்பு
இந்தத் தாக்குதலின் ஒரு முக்கிய அம்சம், கட்டளை மற்றும் கட்டுப்பாட்டு (C2) பொறிமுறையாக சோலானா பிளாக்செயினைச் சார்ந்திருப்பதாகும். பாரம்பரிய சர்வர்களுக்குப் பதிலாக, தாக்குதல் நடத்துபவர்கள் குறிப்பிட்ட வாலட் முகவரிகளுடன் இணைக்கப்பட்ட பரிவர்த்தனை மெமோ புலங்களுக்குள் பேலோட் URL-களைச் சேமிக்கின்றனர்.
ரெபாசிட்டரி மீறல்கள் கவனிக்கப்படுவதற்குப் பல மாதங்களுக்கு முன்பே, அதாவது நவம்பர் 27, 2025 அன்றே முதன்மை வாலட்டுடன் தொடர்புடைய செயல்பாடு தொடங்கியதாகப் பகுப்பாய்வு வெளிப்படுத்துகிறது. அந்த வாலட் டஜன் கணக்கான பரிவர்த்தனைகளைச் செயல்படுத்தியுள்ளது; அதன் பேலோட் இருப்பிடங்கள் அடிக்கடி, சில சமயங்களில் ஒரு நாளைக்கு பலமுறை, புதுப்பிக்கப்படுகின்றன. இந்த பரவலாக்கப்பட்ட அணுகுமுறை, மீள்திறனை மேம்படுத்துவதோடு, முடக்கும் முயற்சிகளையும் சிக்கலாக்குகிறது.
தாக்குதல் பரப்பை விரிவுபடுத்துதல்: npm மற்றும் சூழல் மண்டலங்களுக்கிடையேயான தொற்றுகள்
இந்த பிரச்சாரம் பைதான் சூழல் அமைப்புகளைத் தாண்டி ஜாவாஸ்கிரிப்ட் விநியோகச் சங்கிலிகள் வரை பரவியுள்ளது. ரியாக்ட் நேட்டிவ்-இன்டர்நேஷனல்-ஃபோன்-நம்பர் (பதிப்பு 0.11.8) மற்றும் ரியாக்ட் நேட்டிவ்-கன்ட்ரி-செலக்ட் (பதிப்பு 0.3.91) ஆகிய இரண்டு ரியாக்ட் நேட்டிவ் npm தொகுப்புகள் தற்காலிகமாக ஊடுருவப்பட்டு, உட்பொதிக்கப்பட்ட தீம்பொருளுடன் விநியோகிக்கப்பட்டன.
இந்தத் தீங்கிழைக்கும் பதிப்புகள், நிறுவலுக்கு முந்தைய ஹூக்குகளை அறிமுகப்படுத்தின. அவை, தெளிவற்ற ஜாவாஸ்கிரிப்டை இயக்கி, அதே போன்ற ஒரு தொற்றுச் சங்கிலியைத் தொடங்குகின்றன. இந்த மால்வேர் மீண்டும் ரஷ்ய அமைப்புகளைத் தவிர்த்து, சோலானா வாலட் வழியாக பேலோட் வழிமுறைகளைப் பெற்று, இயங்குதளத்திற்கேற்ற அச்சுறுத்தல்களைப் பரப்புகிறது.
eval() அல்லது Node.js சாண்ட்பாக்ஸிங் போன்ற இயக்க நேர நுட்பங்களைப் பயன்படுத்தி, செயலாக்கம் முழுவதுமாக நினைவகத்திலேயே நடைபெறுவதால், மிகக் குறைந்த அளவிலான தடயங்களே எஞ்சியுள்ளன. மேலும், ஒரு நேர முத்திரையை உள்ளூரில் சேமிப்பதன் மூலம், 48 மணி நேரத்திற்குள் மீண்டும் தொற்று ஏற்படுவதை ஒரு நிலைத்தன்மைப் பொறிமுறை தடுக்கிறது.
மேம்பட்ட ஏமாற்றுதல் மற்றும் விநியோக உத்திகள்
GlassWorm-இன் சமீபத்திய பதிப்புகள், அவற்றை வழங்குவதிலும் மறைப்பதிலும் அதிகரித்த நுட்பத்தை வெளிப்படுத்துகின்றன. extensionPack மற்றும் extensionDependencies வழிமுறைகளைப் பயன்படுத்துவதன் மூலம், தாக்குதல் நடத்துபவர்கள் தீங்கிழைக்கும் கோப்புகளை நம்பகமான நீட்டிப்புச் சூழல் அமைப்புகள் வழியாகப் பரப்புகின்றனர்.
அதே அச்சுறுத்தல் காரணியுடன் தொடர்புடைய முந்தைய செயல்பாடுகள், தீங்கிழைக்கும் குறியீட்டை மறைப்பதற்காக கண்ணுக்குப் புலப்படாத யூனிகோட் எழுத்துக்களைப் பயன்படுத்தி 151-க்கும் மேற்பட்ட கிட்ஹப் களஞ்சியங்களை ஊடுருவின. பல்வேறு மறைப்பு மற்றும் விநியோக உத்திகள் இருந்தபோதிலும், அனைத்து செயல்பாடுகளும் ஒரே சோலானா அடிப்படையிலான உள்கட்டமைப்பையே தொடர்ந்து சார்ந்துள்ளன, இது ஒரு ஒருங்கிணைந்த செயல்பாட்டுக் கட்டமைப்பை உறுதிப்படுத்துகிறது.
தீங்கிழைக்கும் IDE நீட்டிப்புகள்: டெவலப்பர் சூழல்களைக் குறிவைத்தல்
reditorsupporter.r-vscode-2.8.8-universal என அடையாளம் காணப்பட்ட ஒரு தீங்கிழைக்கும் நீட்டிப்பின் மூலம், இந்த பிரச்சாரம் Windsurf IDE-ஐ குறிவைத்து, மென்பொருள் உருவாக்கக் கருவிகளிலும் ஊடுருவியுள்ளது. R மொழி ஆதரவு செருகுநிரல் போல வேடமிட்டு, இது Node.js-ஐ அடிப்படையாகக் கொண்ட ஒரு தகவல் திருடனைப் பயன்படுத்துகிறது.
நிறுவப்பட்டதும், இந்த நீட்டிப்பு பிளாக்செயின் பரிவர்த்தனைகளிலிருந்து மறைகுறியாக்கப்பட்ட தரவுப் பொதிகளைப் பெற்று, அவற்றை நினைவகத்தில் செயல்படுத்தி, குரோமியம் அடிப்படையிலான உலாவிகளிலிருந்து முக்கியமான தரவுகளைப் பிரித்தெடுக்கத் தொகுக்கப்பட்ட கூறுகளைப் பயன்படுத்துகிறது. திட்டமிடப்பட்ட பணிகள் மற்றும் விண்டோஸ் ரெஜிஸ்ட்ரி மாற்றங்கள் மூலம் நிலைத்தன்மை உறுதி செய்யப்படுகிறது, இது கணினி தொடங்கும்போதே செயல்படுத்துவதை உறுதி செய்கிறது.
இந்த மால்வேர், மற்ற கிளாஸ்வோர்ம் வகைகளில் காணப்பட்ட செயல்பாட்டைப் போலவே, ரஷ்ய கணினிகளைத் தவிர்த்து, குறிப்பாக டெவலப்பர் சூழல்களைக் குறிவைக்கிறது.
அளவு மற்றும் தாக்கத்தின் குறிகாட்டிகள்
பாதுகாப்புப் பகுப்பாய்வின்படி, இந்தத் தாக்குதல் திறந்த மூல மென்பொருள் சூழலமைப்பின் கணிசமான பகுதியைச் சிதைத்துள்ளதுடன், பல்வேறு தளங்களில் உள்ள 433-க்கும் மேற்பட்ட திட்டங்களையும் பாதித்துள்ளது. இவற்றில் GitHub களஞ்சியங்கள் (பைதான் மற்றும் ஜாவாஸ்கிரிப்ட்), VS Code நீட்டிப்புகள் மற்றும் npm நூலகங்கள் ஆகியவை அடங்கும்.
அனைத்துத் தொற்றுப் பாதைகளும் இறுதியில் ஜாவாஸ்கிரிப்ட் அடிப்படையிலான தகவல் திருடியை நிலைநிறுத்துவதில் ஒன்றிணைகின்றன; இது, நற்சான்றிதழ் சேகரிப்பு மற்றும் தரவுக் கசிவு ஆகிய ஒரு சீரான இறுதி இலக்கை எடுத்துக்காட்டுகிறது.
- 433-க்கும் மேற்பட்ட உறுதிசெய்யப்பட்ட பாதிப்புக்குள்ளான திட்டங்கள் மற்றும் தொகுப்புகள்
- GitHub, npm மற்றும் IDE நீட்டிப்புகள் உள்ளிட்ட பல்வேறு விநியோக முறைகள்
- பேலோட் விநியோகத்திற்காக சோலானா பிளாக்செயின் உள்கட்டமைப்பைத் தொடர்ச்சியாகப் பயன்படுத்துதல்
- அனைத்து வகைகளிலும் ரஷ்ய அமைப்புகள் மீண்டும் மீண்டும் விலக்கப்படுதல்
வியூக மதிப்பீடு: விநியோகச் சங்கிலித் தாக்குதல்களின் ஒரு புதிய சகாப்தம்
ஃபோர்ஸ்மெமோ பிரச்சாரமானது, மென்பொருள் விநியோகச் சங்கிலி அச்சுறுத்தல்களில் ஒரு குறிப்பிடத்தக்க அதிகரிப்பைக் குறிக்கிறது. அதன் இரகசியமான கிட் ஹிஸ்டரி கையாளுதல், பிளாக்செயின் அடிப்படையிலான C2 உள்கட்டமைப்பு மற்றும் பல தளங்களில் பரவும் தொற்று வழிகள் ஆகியவற்றின் கலவையானது, ஒரு உயர் மட்ட செயல்பாட்டு முதிர்ச்சியை வெளிப்படுத்துகிறது.
வளர்ந்து வரும் விநியோக வழிமுறைகளுடன் உள்கட்டமைப்பை மீண்டும் பயன்படுத்துவது, தாக்குதல்களைப் பெருக்கும் அதே வேளையில் நிலைத்தன்மையையும் தப்பித்தலையும் தக்கவைத்துக் கொள்ளும் திறன் கொண்ட ஒரு தகவமைப்பு எதிரியைக் குறிக்கிறது. தனித்தனி சமரசங்களிலிருந்து ஒருங்கிணைக்கப்பட்ட, பல-சூழல் அமைப்பு ஊடுருவல்களுக்கு மாறும் இந்த நிலை மாற்றம், நவீன மேம்பாட்டுச் சூழல்களும் திறந்த மூல சமூகங்களும் எதிர்கொள்ளும் வளர்ந்து வரும் அபாயத்தை அடிக்கோடிட்டுக் காட்டுகிறது.
