Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım GlassWorm Kötü Amaçlı Yazılımı

GlassWorm Kötü Amaçlı Yazılımı

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

GlassWorm kötü amaçlı yazılım kampanyasının yeni bir dalgası, çalınan GitHub token'larını kullanarak yüzlerce depoya kötü amaçlı kod enjekte ederek yazılım tedarik zincirlerini aktif olarak hedef alıyor. Bu operasyon öncelikle Django uygulamaları, makine öğrenimi araştırma kodları, Streamlit panoları ve PyPI paketleri de dahil olmak üzere Python tabanlı projelere odaklanıyor.

Saldırı yöntemi aldatıcı derecede basit ancak son derece etkilidir: gizlenmiş kötü amaçlı yazılım, setup.py, main.py ve app.py gibi sık kullanılan dosyalara eklenir. Pip install aracılığıyla bağımlılıkları yükleyen veya tehlikeye atılmış bir depodan klonlanmış kodu çalıştıran herhangi bir geliştirici, farkında olmadan kötü amaçlı yazılımı etkinleştirir.

Sessiz Depo Ele Geçirmeleri: ForceMemo Tekniği

Artık ForceMemo olarak adlandırılan bu kampanya evrimi, depolara sızmanın gizli bir yöntemini sunuyor. Tehdit aktörleri, geleneksel izler bırakmadan geliştirici hesaplarına erişim sağlıyor ve depoları manipüle ediyor.

Saldırganlar, meşru commit'leri kötü amaçlı kodla yeniden temel alarak ve varsayılan dala zorla iterek, mesaj, yazar ve zaman damgası dahil olmak üzere orijinal commit meta verilerini korur ve böylece saldırıyı etkili bir şekilde gizler. Bu yaklaşım, çekme istekleri veya şüpheli commit geçmişleri gibi görünür göstergeleri ortadan kaldırarak tespit edilmeyi önemli ölçüde zorlaştırır.

Saldırı Yürütme Zinciri: Kimlik Bilgisi Hırsızlığından Zararlı Veri Teslimatına

ForceMemo harekatı, yapılandırılmış ve çok aşamalı bir sızma sürecini takip eder:

  • Geliştirici ortamları, öncelikle GitHub token'ları da dahil olmak üzere hassas kimlik bilgilerini ele geçirmek üzere tasarlanmış GlassWorm bileşenlerini taşıyan kötü amaçlı Visual Studio Code ve Cursor uzantıları aracılığıyla tehlikeye atılıyor.
  • Çalınan kimlik bilgileri daha sonra, ele geçirilen hesapla ilişkili tüm depolardaki Python dosyalarına gizlenmiş Base64 kodlu zararlı yazılımlar enjekte etmek için kullanılır.
  • Yerleştirilmiş kötü amaçlı yazılım, ortam kontrolleri gerçekleştirir ve özellikle Rusça yerel ayarıyla yapılandırılmış sistemlerde çalıştırılmaktan kaçınır. Ardından, zararlı yazılımın teslimat URL'sini dinamik olarak almak için bir Solana blok zinciri cüzdanını sorgular.
  • Şifrelenmiş JavaScript dosyaları da dahil olmak üzere, kripto para hırsızlığı ve veri sızdırma amacıyla tasarlanmış ek zararlı yazılımlar indiriliyor.

Blok Zinciri Tabanlı Komuta ve Kontrol: Dayanıklı Bir Altyapı

Bu saldırının belirleyici özelliklerinden biri, Komuta ve Kontrol (C2) mekanizması olarak Solana blok zincirine dayanmasıdır. Saldırganlar, geleneksel sunucular yerine, belirli cüzdan adreslerine bağlı işlem notu alanlarında zararlı yazılım URL'lerini saklarlar.

Analizler, birincil cüzdanla bağlantılı faaliyetlerin, veri deposu ihlallerinin gözlemlenmesinden aylar önce, 27 Kasım 2025 gibi erken bir tarihte başladığını ortaya koyuyor. Cüzdan, onlarca işlemi işledi ve veri paketlerinin konumları sık sık, bazen günde birden fazla kez güncellendi. Bu merkeziyetsiz yaklaşım, dayanıklılığı artırıyor ve etkisiz hale getirme çabalarını zorlaştırıyor.

Saldırı Yüzeyini Genişletmek: npm ve Ekosistemler Arası Enfeksiyonlar

Kampanya, Python ekosistemlerinin ötesine geçerek JavaScript tedarik zincirlerine de yayıldı. İki React Native npm paketi, react-native-international-phone-number (sürüm 0.11.8) ve react-native-country-select (sürüm 0.3.91), geçici olarak ele geçirildi ve içine kötü amaçlı yazılım yerleştirilerek dağıtıldı.

Bu kötü amaçlı sürümler, benzer bir enfeksiyon zincirini başlatan gizlenmiş JavaScript çalıştıran ön yükleme kancaları içeriyordu. Kötü amaçlı yazılım yine Rus sistemlerinden kaçınıyor, Solana cüzdanı aracılığıyla yük talimatlarını alıyor ve platforma özgü tehditler yayıyor.

Çalıştırma işlemi, eval() veya Node.js sanal alanlama gibi çalışma zamanı teknikleri kullanılarak tamamen bellekte gerçekleşir ve bu da minimum düzeyde adli kanıt bırakır. Ek olarak, bir kalıcılık mekanizması, yerel olarak bir zaman damgası depolayarak 48 saatlik bir süre içinde yeniden enfeksiyonu önler.

Gelişmiş Kaçış ve Dağıtım Taktikleri

GlassWorm'ün son sürümleri, dağıtım ve gizleme konusunda artan bir gelişmişlik sergiliyor. Saldırganlar, extensionPack ve extensionDependencies mekanizmalarını kullanarak, kötü amaçlı yazılımları güvenilir uzantı ekosistemleri aracılığıyla geçişli olarak dağıtıyorlar.

Aynı tehdit aktörüne bağlı önceki kampanyalar, kötü amaçlı kodu gizlemek için görünmez Unicode karakterleri kullanarak 151'den fazla GitHub deposunu ele geçirmişti. Çeşitli gizleme ve dağıtım stratejilerine rağmen, tüm kampanyalar tutarlı bir şekilde aynı Solana tabanlı altyapıya dayanıyor ve bu da birleşik bir operasyonel çerçeveyi doğruluyor.

Kötü Amaçlı IDE Eklentileri: Geliştirici Ortamlarını Hedef Alıyor

Kampanya ayrıca, Windsurf IDE'yi hedef alan ve reditorsupporter.r-vscode-2.8.8-universal olarak tanımlanan kötü amaçlı bir uzantı aracılığıyla geliştirme araçlarına da sızdı. Bir R dili destek eklentisi gibi görünen bu uzantı, Node.js tabanlı bir bilgi hırsızı yazılımı çalıştırıyor.

Kurulduktan sonra, eklenti blok zinciri işlemlerinden şifrelenmiş yükleri alır, bunları bellekte yürütür ve Chromium tabanlı tarayıcılardan hassas verileri çıkarmak için derlenmiş bileşenleri dağıtır. Kalıcılık, zamanlanmış görevler ve Windows Kayıt Defteri değişiklikleri yoluyla sağlanır ve sistem başlatıldığında yürütülmesi garanti edilir.

Bu kötü amaçlı yazılım, diğer GlassWorm varyantlarında gözlemlenen davranışa benzer şekilde, Rus sistemlerini hariç tutarak özellikle geliştirici ortamlarını hedef alıyor.

Ölçek ve Etki Göstergeleri

Güvenlik analizleri, bu saldırının açık kaynak ekosisteminin önemli bir bölümünü tehlikeye attığını ve birden fazla platformda 433'ten fazla projeyi etkilediğini gösteriyor. Bunlar arasında GitHub depoları (Python ve JavaScript), VS Code eklentileri ve npm kütüphaneleri yer alıyor.

Tüm enfeksiyon yolları nihayetinde JavaScript tabanlı bir bilgi hırsızının devreye alınmasında birleşiyor ve bu da kimlik bilgilerinin ele geçirilmesi ve verilerin sızdırılması gibi tutarlı bir nihai hedefi vurguluyor.

  • 433'ten fazla projenin ve paketin tehlikeye girdiği doğrulandı.
  • GitHub, npm ve IDE uzantıları dahil olmak üzere birden fazla dağıtım yöntemi.
  • Veri paketi teslimatı için Solana blok zinciri altyapısının tutarlı kullanımı
  • Rus sistemlerinin tüm varyantlarda tekrar tekrar dışlanması

Stratejik Değerlendirme: Tedarik Zinciri Saldırılarında Yeni Bir Dönem

ForceMemo kampanyası, yazılım tedarik zinciri tehditlerinde önemli bir artışı temsil ediyor. Gizli Git geçmişi manipülasyonu, blok zinciri tabanlı C2 altyapısı ve platformlar arası bulaşma vektörlerinin birleşimi, yüksek düzeyde operasyonel olgunluğu gösteriyor.

Altyapının yeniden kullanımı ve gelişen dağıtım mekanizmaları, saldırıları ölçeklendirebilen, kalıcılığı ve kaçınma yeteneğini koruyabilen uyarlanabilir bir düşmanı işaret etmektedir. Tekil ihlallerden koordineli, çoklu ekosistem saldırılarına doğru yaşanan bu değişim, modern geliştirme ortamlarının ve açık kaynak topluluklarının karşı karşıya kaldığı artan riski vurgulamaktadır.

trend

E-posta Otomatik Şifre Sıfırlama E-posta...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve acil işlem gerektiren e-postalar her zaman şüphe uyandırmalıdır. Siber suçlular, alıcıları kaynağı doğrulamadan yanıt vermeye zorlamak için sıklıkla kimlik avı kampanyalarını acil güvenlik bildirimleri gibi gösterirler. "E-posta Otomatik Olarak Şifrenizi Sıfırlayacak" mesajı da bunun bir örneğidir. Meşru bir e-posta servis sağlayıcısından geliyormuş gibi görünse de, yapılan...

Ledger - Şüpheli DEX Etkinliği Tespit Edildi E-posta...

Kimlik avı, İstenmeyen e-posta
Beklenmedik ve acil güvenlik sorunları iddiasında bulunan e-postalar her zaman temkinli yaklaşılmalıdır. Siber suçlular, panik yaratmak ve alıcıları hızlı hareket etmeye zorlamak için sıklıkla tanınmış markaları taklit ederler. "Ledger - Şüpheli DEX Etkinliği Tespit Edildi" başlıklı e-posta da bunun bir örneğidir. Ledger'dan geliyormuş gibi görünse de, mesajlar meşru donanım cüzdanı üreticisi...

En çok görüntülenen

Yükleniyor...