Malware ng GlassWorm

Isang bagong bugso ng kampanya ng GlassWorm malware ang aktibong tumatama sa mga supply chain ng software sa pamamagitan ng pagsasamantala sa mga ninakaw na token ng GitHub upang magpasok ng malisyosong code sa daan-daang repository. Pangunahing nakatuon ang operasyong ito sa mga proyektong nakabatay sa Python, kabilang ang mga aplikasyon ng Django, machine learning research code, Streamlit dashboard, at mga pakete ng PyPI.

Ang vector ng pag-atake ay mapanlinlang na simple ngunit lubos na epektibo: ang na-obfuscate na malware ay idinaragdag sa mga karaniwang pinapatakbong file tulad ng setup.py, main.py, at app.py. Sinumang developer na nag-i-install ng mga dependency sa pamamagitan ng pip install o nagpapatupad ng cloned code mula sa isang nakompromisong repository nang hindi namamalayan ay nag-a-activate ng malisyosong payload.

Mga Pagkuha ng Tahimik na Repositoryo: Ang Teknik ng ForceMemo

Ang ebolusyong ito ng kampanya, na ngayon ay tinutukoy bilang ForceMemo, ay nagpapakilala ng isang palihim na paraan ng pagkompromiso sa mga repositoryo. Nakakakuha ng access ang mga threat actor sa mga developer account at minamanipula ang mga repositoryo nang hindi nag-iiwan ng mga karaniwang bakas.

Sa pamamagitan ng pagbabago ng batayan ng mga lehitimong commit gamit ang malisyosong code at puwersahang pagtulak sa mga ito sa default na branch, pinapanatili ng mga attacker ang orihinal na metadata ng commit, kabilang ang mensahe, awtor, at timestamp, na epektibong nagtatakip sa panghihimasok. Inaalis ng pamamaraang ito ang mga nakikitang indikasyon tulad ng mga pull request o mga kahina-hinalang kasaysayan ng commit, na ginagawang mas mahirap ang pagtukoy.

Kadena ng Pagpapatupad ng Pag-atake: Mula sa Pagnanakaw ng Kredensyal hanggang sa Paghahatid ng Payload

Ang kampanyang ForceMemo ay sumusunod sa isang nakabalangkas at maraming yugtong proseso ng panghihimasok:

• Ang mga kapaligiran ng developer ay unang nakompromiso sa pamamagitan ng mga malisyosong Visual Studio Code at Cursor extension na may mga bahaging GlassWorm na idinisenyo upang mangolekta ng mga sensitibong kredensyal, kabilang ang mga token ng GitHub.
• Pagkatapos, ginagamit ang mga ninakaw na kredensyal upang magpasok ng mga na-obfuscate na Base64-encoded payload sa mga Python file sa lahat ng repository na nauugnay sa nakompromisong account.
• Ang naka-embed na malware ay nagsasagawa ng mga environment check, kapansin-pansing iniiwasan ang pagpapatupad sa mga system na naka-configure gamit ang isang Russian locale. Pagkatapos ay nagki-query ito sa isang Solana blockchain wallet upang dynamic na makuha ang payload delivery URL.
• Nagda-download ng mga karagdagang payload, kabilang ang naka-encrypt na JavaScript na idinisenyo para sa pagnanakaw ng cryptocurrency at pag-exfiltrate ng data.

Pamumuno at Kontrol na Nakabatay sa Blockchain: Isang Matibay na Imprastraktura

Isang natatanging katangian ng kampanyang ito ay ang pag-asa nito sa Solana blockchain bilang isang mekanismo ng Command-and-Control (C2). Sa halip na mga tradisyunal na server, iniimbak ng mga attacker ang mga payload URL sa loob ng mga field ng memo ng transaksyon na nakatali sa mga partikular na address ng wallet.

Ipinapakita ng pagsusuri na ang aktibidad na naka-link sa pangunahing wallet ay nagsimula noong Nobyembre 27, 2025, ilang buwan bago pa man maobserbahan ang mga paglabag sa repository. Ang wallet ay nakapagproseso na ng dose-dosenang mga transaksyon, kung saan ang mga lokasyon ng payload ay madalas na ina-update, minsan ay maraming beses bawat araw. Ang desentralisadong pamamaraang ito ay nagpapahusay sa katatagan at nagpapakomplikado sa mga pagsisikap sa pag-alis.

Pagpapalawak ng Attack Surface: npm at mga Impeksyon sa Cross-Ecosystem

Lumawak na ang kampanya lampas sa mga ecosystem ng Python at naka-access na sa mga supply chain ng JavaScript. Dalawang React Native npm package, ang react-native-international-phone-number (bersyon 0.11.8) at react-native-country-select (bersyon 0.3.91), ang pansamantalang nakompromiso at naipamahagi kasama ng naka-embed na malware.

Ang mga malisyosong bersyong ito ay nagpakilala ng mga preinstall hook na nagpapatupad ng obfuscated JavaScript na nagsisimula ng katulad na infection chain. Muling iniiwasan ng malware ang mga sistemang Ruso, kinukuha ang mga tagubilin sa payload sa pamamagitan ng isang Solana wallet, at nagde-deploy ng mga banta na partikular sa platform.

Ang pagpapatupad ay nangyayari nang buo sa memorya gamit ang mga runtime technique tulad ng eval() o Node.js sandboxing, na nag-iiwan ng kaunting forensic artifact. Bukod pa rito, pinipigilan ng isang persistence mechanism ang muling impeksyon sa loob ng 48-oras na window sa pamamagitan ng pag-iimbak ng isang timestamp nang lokal.

Mga Mas Maunlad na Taktika sa Pag-iwas at Pamamahagi

Ang mga kamakailang bersyon ng GlassWorm ay nagpapakita ng mas sopistikasyon sa paghahatid at pagtatago. Sa pamamagitan ng paggamit ng mga mekanismo ng extensionPack at extensionDependencies, ang mga umaatake ay nagpapamahagi ng mga malisyosong payload nang palipat-lipat sa pamamagitan ng mga pinagkakatiwalaang ecosystem ng extension.

Ang mga naunang kampanyang naka-link sa parehong aktor ng banta ay nakakompromiso ng mahigit 151 na repositoryo ng GitHub gamit ang mga hindi nakikitang karakter na Unicode upang itago ang malisyosong code. Sa kabila ng iba't ibang estratehiya sa pagpapalabo at paghahatid, lahat ng kampanya ay patuloy na umaasa sa parehong imprastraktura na nakabase sa Solana, na nagpapatunay sa isang pinag-isang balangkas ng operasyon.

Mga Nakakahamak na Extension ng IDE: Pag-target sa mga Developer Environment

Nakalusot din ang kampanya sa mga development tool sa pamamagitan ng isang rogue extension na kinilala bilang reditorsupporter.r-vscode-2.8.8-universal, na tumatarget sa Windsurf IDE. Nagbabalatkayo bilang isang R language support plugin, nagde-deploy ito ng Node.js-based information stealer.

Kapag na-install na, kinukuha ng extension ang mga naka-encrypt na payload mula sa mga transaksyon ng blockchain, isinasagawa ang mga ito sa memorya, at inilalagay ang mga na-compile na bahagi upang kumuha ng sensitibong data mula sa mga browser na nakabase sa Chromium. Nakakamit ang pagtitiyaga sa pamamagitan ng mga naka-iskedyul na gawain at mga pagbabago sa Windows Registry, na tinitiyak ang pagpapatupad sa pagsisimula ng system.

Partikular na tinatarget ng malware ang mga kapaligiran ng developer habang hindi kasama ang mga sistemang Ruso, na ginagaya ang pag-uugaling naobserbahan sa iba pang mga variant ng GlassWorm.

Mga Indikasyon ng Sukat at Epekto

Ipinapahiwatig ng pagsusuri sa seguridad na nakompromiso ng kampanya ang isang malaking bahagi ng open-source ecosystem, na nakaapekto sa mahigit 433 proyekto sa maraming platform. Kabilang dito ang mga repositoryo ng GitHub (Python at JavaScript), mga extension ng VS Code, at mga npm library.

Ang lahat ng mga landas ng impeksyon ay sa huli ay nagtatagpo sa pag-deploy ng isang JavaScript-based na information stealer, na nagtatampok ng isang pare-parehong pangwakas na layunin ng pagkuha ng kredensyal at pagkuha ng data.

• Mahigit 433 na kumpirmadong nakompromisong proyekto at pakete
• Maramihang mga vector ng paghahatid kabilang ang GitHub, npm, at mga extension ng IDE
• Patuloy na paggamit ng imprastraktura ng blockchain ng Solana para sa paghahatid ng payload
• Paulit-ulit na pagbubukod ng mga sistemang Ruso sa lahat ng variant

Istratehikong Pagtatasa: Isang Bagong Panahon ng mga Pag-atake sa Supply Chain

Ang kampanyang ForceMemo ay kumakatawan sa isang makabuluhang pagtaas ng mga banta sa supply chain ng software. Ang kombinasyon nito ng palihim na manipulasyon sa kasaysayan ng Git, imprastraktura ng C2 na nakabatay sa blockchain, at mga cross-platform infection vector ay nagpapakita ng isang mataas na antas ng operational maturity.

Ang muling paggamit ng imprastraktura kasabay ng umuusbong na mga mekanismo ng paghahatid ay nagpapahiwatig ng isang adaptibong kalaban na may kakayahang palawakin ang mga pag-atake habang pinapanatili ang pagtitiyaga at pag-iwas. Ang pagbabagong ito mula sa mga nakahiwalay na kompromiso patungo sa mga koordinadong panghihimasok sa maraming ecosystem ay nagbibigay-diin sa lumalaking panganib na kinakaharap ng mga modernong kapaligiran sa pag-unlad at mga open-source na komunidad.