గ్లాస్‌వార్మ్ మాల్వేర్

గ్లాస్‌వార్మ్ మాల్వేర్ దాడి యొక్క కొత్త దశ, దొంగిలించబడిన గిట్‌హబ్ టోకెన్‌లను ఉపయోగించుకుని వందలాది రిపోజిటరీలలోకి హానికరమైన కోడ్‌ను చొప్పించడం ద్వారా సాఫ్ట్‌వేర్ సరఫరా గొలుసులను చురుకుగా లక్ష్యంగా చేసుకుంటోంది. ఈ ఆపరేషన్ ప్రధానంగా పైథాన్ ఆధారిత ప్రాజెక్టులపై దృష్టి సారిస్తుంది, వీటిలో జాంగో అప్లికేషన్లు, మెషిన్ లెర్నింగ్ పరిశోధన కోడ్, స్ట్రీమ్‌లిట్ డాష్‌బోర్డ్‌లు మరియు PyPI ప్యాకేజీలు ఉన్నాయి.

ఈ దాడి పద్ధతి చూడటానికి చాలా సులభంగా అనిపించినా, అత్యంత ప్రభావవంతమైనది: setup.py, main.py, మరియు app.py వంటి సాధారణంగా ఎగ్జిక్యూట్ అయ్యే ఫైళ్ళకు, అస్పష్టంగా మార్చబడిన మాల్వేర్‌ను జతచేస్తారు. pip install ద్వారా డిపెండెన్సీలను ఇన్‌స్టాల్ చేసే లేదా హ్యాకర్‌కు సోకిన రిపోజిటరీ నుండి క్లోన్ చేసిన కోడ్‌ను ఎగ్జిక్యూట్ చేసే ఏ డెవలపర్ అయినా, తెలియకుండానే ఆ హానికరమైన పేలోడ్‌ను యాక్టివేట్ చేస్తారు.

నిశ్శబ్ద రిపోజిటరీ స్వాధీనాలు: ఫోర్స్‌మెమో టెక్నిక్

ఇప్పుడు ఫోర్స్‌మెమోగా పిలవబడే ఈ క్యాంపెయిన్ పరిణామం, రిపోజిటరీలను హ్యాక్ చేయడానికి ఒక రహస్య పద్ధతిని పరిచయం చేస్తుంది. దీని ద్వారా దుష్ప్రవర్తకులు ఎలాంటి సంప్రదాయ జాడలు వదలకుండా డెవలపర్ ఖాతాలను యాక్సెస్ చేసి, రిపోజిటరీలను తమకు అనుకూలంగా మార్చుకుంటారు.

చట్టబద్ధమైన కమిట్‌లను హానికరమైన కోడ్‌తో రీబేస్ చేసి, వాటిని డిఫాల్ట్ బ్రాంచ్‌కు ఫోర్స్-పుష్ చేయడం ద్వారా, దాడి చేసేవారు సందేశం, రచయిత మరియు టైమ్‌స్టాంప్‌తో సహా అసలైన కమిట్ మెటాడేటాను భద్రపరుస్తారు, తద్వారా చొరబాటును సమర్థవంతంగా మరుగుపరుస్తారు. ఈ విధానం పుల్ రిక్వెస్ట్‌లు లేదా అనుమానాస్పద కమిట్ హిస్టరీల వంటి కనిపించే సూచికలను తొలగిస్తుంది, దీనివల్ల గుర్తించడం గణనీయంగా కష్టతరం అవుతుంది.

దాడి అమలు క్రమం: ఆధారాల దొంగతనం నుండి పేలోడ్ బట్వాడా వరకు

ఫోర్స్‌మెమో ప్రచారం ఒక క్రమబద్ధమైన మరియు బహుళ-దశల చొరబాటు ప్రక్రియను అనుసరిస్తుంది:

• గిట్‌హబ్ టోకెన్‌లతో సహా సున్నితమైన ఆధారాలను సేకరించడానికి రూపొందించిన గ్లాస్‌వార్మ్ భాగాలను కలిగి ఉన్న హానికరమైన విజువల్ స్టూడియో కోడ్ మరియు కర్సర్ ఎక్స్‌టెన్షన్‌ల ద్వారా డెవలపర్ ఎన్విరాన్‌మెంట్‌లు మొదటగా హ్యాక్ చేయబడతాయి.
• ఆ తర్వాత, దొంగిలించబడిన ఆధారాలను ఉపయోగించి, హ్యాక్ చేయబడిన ఖాతాకు సంబంధించిన అన్ని రిపోజిటరీలలోని పైథాన్ ఫైళ్ళలోకి అస్పష్టంగా మార్చబడిన బేస్64-ఎన్‌కోడ్ చేయబడిన పేలోడ్‌లను చొప్పించడం జరుగుతుంది.
• పొందుపరిచిన మాల్వేర్ పర్యావరణ తనిఖీలను నిర్వహిస్తుంది, ముఖ్యంగా రష్యన్ స్థానిక భాషతో కాన్ఫిగర్ చేయబడిన సిస్టమ్‌లలో అమలు కాకుండా నివారిస్తుంది. ఆ తర్వాత అది పేలోడ్ డెలివరీ URLను డైనమిక్‌గా తిరిగి పొందడానికి సోలానా బ్లాక్‌చెయిన్ వాలెట్‌ను ప్రశ్నిస్తుంది.
• క్రిప్టోకరెన్సీ దొంగతనం మరియు డేటా బహిష్కరణ కోసం రూపొందించిన ఎన్‌క్రిప్టెడ్ జావాస్క్రిప్ట్‌తో సహా అదనపు పేలోడ్‌లు డౌన్‌లోడ్ చేయబడతాయి.

బ్లాక్‌చెయిన్ ఆధారిత ఆదేశం మరియు నియంత్రణ: ఒక స్థితిస్థాపక మౌలిక సదుపాయం

ఈ క్యాంపెయిన్ యొక్క ముఖ్య లక్షణం ఏమిటంటే, ఇది కమాండ్-అండ్-కంట్రోల్ (C2) మెకానిజంగా సోలానా బ్లాక్‌చెయిన్‌పై ఆధారపడటం. సాంప్రదాయ సర్వర్‌లకు బదులుగా, దాడి చేసేవారు నిర్దిష్ట వాలెట్ చిరునామాలకు అనుసంధానించబడిన ట్రాన్సాక్షన్ మెమో ఫీల్డ్‌లలో పేలోడ్ URLలను నిల్వ చేస్తారు.

విశ్లేషణలో తేలిందేమిటంటే, రిపోజిటరీలలో లోపాలు కనుగొనబడటానికి నెలల ముందే, అంటే నవంబర్ 27, 2025 నాటికే ప్రాథమిక వాలెట్‌కు సంబంధించిన కార్యకలాపాలు ప్రారంభమయ్యాయి. ఈ వాలెట్ డజన్ల కొద్దీ లావాదేవీలను ప్రాసెస్ చేసింది, మరియు పేలోడ్ స్థానాలు తరచుగా, కొన్నిసార్లు రోజుకు చాలాసార్లు నవీకరించబడ్డాయి. ఈ వికేంద్రీకృత విధానం పటిష్టతను పెంచి, తొలగింపు ప్రయత్నాలను క్లిష్టతరం చేస్తుంది.

దాడికి గురయ్యే అవకాశాలను విస్తరించడం: npm మరియు క్రాస్-ఎకోసిస్టమ్ ఇన్ఫెక్షన్లు

ఈ ప్రచారం పైథాన్ ఎకోసిస్టమ్‌లను దాటి జావాస్క్రిప్ట్ సప్లై చైన్‌లలోకి విస్తరించింది. react-native-international-phone-number (వెర్షన్ 0.11.8) మరియు react-native-country-select (వెర్షన్ 0.3.91) అనే రెండు రియాక్ట్ నేటివ్ npm ప్యాకేజీలు తాత్కాలికంగా హ్యాక్ చేయబడి, వాటిలో మాల్‌వేర్ పొందుపరచబడి పంపిణీ చేయబడ్డాయి.

ఈ హానికరమైన వెర్షన్‌లు, అస్పష్టంగా మార్చబడిన జావాస్క్రిప్ట్‌ను అమలు చేసే ప్రీఇన్‌స్టాల్ హుక్స్‌ను ప్రవేశపెట్టి, అదే విధమైన ఇన్ఫెక్షన్ గొలుసును ప్రారంభిస్తాయి. ఈ మాల్వేర్ మళ్ళీ రష్యన్ సిస్టమ్‌లను తప్పించుకుని, సోలానా వాలెట్ ద్వారా పేలోడ్ సూచనలను పొంది, ప్లాట్‌ఫారమ్-నిర్దిష్ట ముప్పులను ప్రయోగిస్తుంది.

eval() లేదా Node.js శాండ్‌బాక్సింగ్ వంటి రన్‌టైమ్ టెక్నిక్‌లను ఉపయోగించి ఎగ్జిక్యూషన్ పూర్తిగా మెమరీలోనే జరుగుతుంది, దీనివల్ల ఫోరెన్సిక్ ఆధారాలు చాలా తక్కువగా మిగిలిపోతాయి. అదనంగా, ఒక పర్సిస్టెన్స్ మెకానిజం టైమ్‌స్టాంప్‌ను స్థానికంగా నిల్వ చేయడం ద్వారా 48 గంటల వ్యవధిలో తిరిగి ఇన్ఫెక్షన్ సోకకుండా నిరోధిస్తుంది.

అధునాతన తప్పించుకునే మరియు పంపిణీ వ్యూహాలు

గ్లాస్‌వార్మ్ యొక్క ఇటీవలి వెర్షన్లు, దానిని పంపిణీ చేయడంలో మరియు దాచడంలో పెరిగిన అధునాతనతను ప్రదర్శిస్తున్నాయి. ఎక్స్‌టెన్షన్‌ప్యాక్ మరియు ఎక్స్‌టెన్షన్‌డిపెండెన్సీస్ మెకానిజమ్‌లను ఉపయోగించుకోవడం ద్వారా, దాడి చేసేవారు విశ్వసనీయమైన ఎక్స్‌టెన్షన్ ఎకోసిస్టమ్‌ల ద్వారా హానికరమైన పేలోడ్‌లను పరోక్షంగా పంపిణీ చేస్తారు.

అదే ముప్పు కలిగించే వ్యక్తికి సంబంధించిన మునుపటి ప్రచారాలు, హానికరమైన కోడ్‌ను దాచడానికి కనిపించని యూనికోడ్ అక్షరాలను ఉపయోగించి 151కి పైగా గిట్‌హబ్ రిపోజిటరీలను హ్యాక్ చేశాయి. విభిన్నమైన అస్పష్టం చేసే మరియు పంపిణీ వ్యూహాలు ఉన్నప్పటికీ, అన్ని ప్రచారాలు స్థిరంగా ఒకే సోలానా-ఆధారిత మౌలిక సదుపాయాలపై ఆధారపడతాయి, ఇది ఒక ఏకీకృత కార్యాచరణ చట్రాన్ని ధృవీకరిస్తుంది.

హానికరమైన IDE పొడిగింపులు: డెవలపర్ పరిసరాలను లక్ష్యంగా చేసుకోవడం

ఈ క్యాంపెయిన్, Windsurf IDEని లక్ష్యంగా చేసుకుని, reditorsupporter.r-vscode-2.8.8-universal అనే పేరుతో గుర్తించబడిన ఒక హానికరమైన ఎక్స్‌టెన్షన్ ద్వారా డెవలప్‌మెంట్ టూల్స్‌లోకి కూడా చొరబడింది. R లాంగ్వేజ్ సపోర్ట్ ప్లగిన్‌గా మారువేషంలో ఉన్న ఇది, Node.js ఆధారిత సమాచార దొంగను మోహరిస్తుంది.

ఒకసారి ఇన్‌స్టాల్ చేసిన తర్వాత, ఈ ఎక్స్‌టెన్షన్ బ్లాక్‌చెయిన్ లావాదేవీల నుండి ఎన్‌క్రిప్ట్ చేయబడిన పేలోడ్‌లను పొంది, వాటిని మెమరీలో అమలు చేస్తుంది, మరియు క్రోమియం ఆధారిత బ్రౌజర్‌ల నుండి సున్నితమైన డేటాను సంగ్రహించడానికి కంపైల్ చేయబడిన భాగాలను వినియోగిస్తుంది. షెడ్యూల్ చేయబడిన టాస్క్‌లు మరియు విండోస్ రిజిస్ట్రీ మార్పుల ద్వారా ఇది నిలకడగా పనిచేస్తుంది, తద్వారా సిస్టమ్ ప్రారంభమైన వెంటనే అమలు జరిగేలా నిర్ధారిస్తుంది.

ఈ మాల్వేర్, ఇతర గ్లాస్‌వార్మ్ వేరియంట్‌లలో గమనించిన ప్రవర్తనను పోలి, రష్యన్ సిస్టమ్‌లను మినహాయించి ప్రత్యేకంగా డెవలపర్ ఎన్విరాన్‌మెంట్‌లను లక్ష్యంగా చేసుకుంటుంది.

పరిమాణం మరియు ప్రభావ సూచికలు

భద్రతా విశ్లేషణ ప్రకారం, ఈ దాడి ఓపెన్-సోర్స్ ఎకోసిస్టమ్‌లోని గణనీయమైన భాగాన్ని దెబ్బతీసిందని, దీనివల్ల పలు ప్లాట్‌ఫారమ్‌లలోని 433 కంటే ఎక్కువ ప్రాజెక్ట్‌లు ప్రభావితమయ్యాయని తెలుస్తోంది. వీటిలో గిట్‌హబ్ రిపోజిటరీలు (పైథాన్ మరియు జావాస్క్రిప్ట్), VS కోడ్ ఎక్స్‌టెన్షన్‌లు, మరియు npm లైబ్రరీలు ఉన్నాయి.

అన్ని ఇన్ఫెక్షన్ మార్గాలు అంతిమంగా జావాస్క్రిప్ట్ ఆధారిత సమాచార దొంగను మోహరించడం వద్ద కలుస్తాయి, ఇది క్రెడెన్షియల్ హార్వెస్టింగ్ మరియు డేటా ఎక్స్‌ఫిల్ట్రేషన్ అనే స్థిరమైన అంతిమ లక్ష్యాన్ని హైలైట్ చేస్తుంది.

• 433 కంటే ఎక్కువ ధృవీకరించబడిన రాజీపడిన ప్రాజెక్ట్‌లు మరియు ప్యాకేజీలు
• GitHub, npm, మరియు IDE ఎక్స్టెన్షన్‌లతో సహా బహుళ డెలివరీ వెక్టర్లు
• పేలోడ్ డెలివరీ కోసం సోలానా బ్లాక్‌చెయిన్ మౌలిక సదుపాయాల స్థిరమైన ఉపయోగం
• అన్ని వేరియంట్లలో రష్యన్ వ్యవస్థలను పదేపదే మినహాయించడం

వ్యూహాత్మక అంచనా: సరఫరా గొలుసు దాడుల కొత్త శకం

ఫోర్స్‌మెమో క్యాంపెయిన్ సాఫ్ట్‌వేర్ సప్లై చైన్ ముప్పులలో ఒక ముఖ్యమైన తీవ్రతను సూచిస్తుంది. దీనిలోని రహస్య గిట్ హిస్టరీ మానిప్యులేషన్, బ్లాక్‌చెయిన్ ఆధారిత C2 ఇన్‌ఫ్రాస్ట్రక్చర్, మరియు క్రాస్-ప్లాట్‌ఫామ్ ఇన్ఫెక్షన్ వెక్టర్స్ కలయిక ఉన్నత స్థాయి కార్యాచరణ పరిపక్వతను ప్రదర్శిస్తుంది.

అభివృద్ధి చెందుతున్న డెలివరీ విధానాలతో పాటు మౌలిక సదుపాయాల పునరుపయోగం అనేది, నిలకడ మరియు తప్పించుకునే సామర్థ్యాన్ని కొనసాగిస్తూనే దాడులను విస్తరించగల ఒక అనుకూల శత్రువును సూచిస్తుంది. వివిక్త రాజీల నుండి సమన్వయంతో కూడిన, బహుళ-ఎకోసిస్టమ్ చొరబాట్లకు మారడం అనేది ఆధునిక అభివృద్ధి వాతావరణాలు మరియు ఓపెన్-సోర్స్ కమ్యూనిటీలు ఎదుర్కొంటున్న పెరుగుతున్న ప్రమాదాన్ని నొక్కి చెబుతుంది.