GlassWorm惡意軟體
新一輪 GlassWorm 惡意軟體攻擊活動正積極針對軟體供應鏈,利用竊取的 GitHub 令牌將惡意程式碼注入數百個程式碼倉庫。這次攻擊主要針對基於 Python 的項目,包括 Django 應用程式、機器學習研究程式碼、Streamlit 控制面板和 PyPI 軟體包。
攻擊手段看似簡單,其實非常有效:混淆後的惡意軟體被附加到常用的執行檔中,例如 setup.py、main.py 和 app.py。任何透過 pip install 安裝依賴項或執行從被入侵的儲存庫中克隆的程式碼的開發人員,都會在不知情的情況下啟動惡意負載。
目錄
靜默儲存庫接管:ForceMemo 技術
這一演變後的攻擊活動,現在被稱為 ForceMemo,引入了一種隱藏的入侵程式碼庫的方法。攻擊者能夠取得開發者帳戶的存取權限,並在不留下任何常規痕跡的情況下操縱程式碼庫。
攻擊者透過將合法提交與惡意程式碼進行變基,並強制推送到預設分支,從而保留了原始提交元數據,包括訊息、作者和時間戳,有效地掩蓋了入侵行為。這種方法消除了諸如拉取請求或可疑提交歷史記錄等可見的跡象,使檢測難度顯著增加。
攻擊執行鏈:從憑證竊取到有效載荷交付
ForceMemo 攻擊活動遵循結構化的多階段入侵流程:
- 開發者環境最初是透過惡意 Visual Studio Code 和 Cursor 擴充功能入侵的,這些擴充功能攜帶 GlassWorm 元件,旨在竊取敏感憑證,包括 GitHub 令牌。
- 然後使用竊取的憑證將混淆的 Base64 編碼有效載荷注入到與被入侵帳戶關聯的所有儲存庫中的 Python 檔案中。
- 嵌入式惡意軟體會執行環境檢查,尤其會避免在配置了俄語語言環境的系統上執行。然後,它會查詢 Solana 區塊鏈錢包,以動態取得有效載荷的投放 URL。
- 也會下載其他有效載荷,包括旨在竊取加密貨幣和資料外洩的加密 JavaScript。
基於區塊鏈的指揮與控制:一種彈性基礎設施
這次攻擊活動的一個顯著特徵是它依賴 Solana 區塊鏈作為命令與控制 (C2) 機制。攻擊者沒有使用傳統的伺服器,而是將有效載荷 URL 儲存在與特定錢包位址關聯的交易備註欄位中。
分析顯示,與主錢包相關的活動可追溯至2025年11月27日,比儲存庫遭到入侵早數月。該錢包已處理數十筆交易,有效載荷位置頻繁更新,有時甚至一天更新數次。這種去中心化的設計增強了系統的韌性,也增加了打擊難度。
擴大攻擊面:npm 和跨生態系感染
此次攻擊活動已從 Python 生態系統擴展到 JavaScript 供應鏈。兩個 React Native npm 套件 react-native-international-phone-number(版本 0.11.8)和 react-native-country-select(版本 0.3.91)被暫時入侵並植入惡意軟體。
這些惡意版本引入了預先安裝鉤子,執行混淆的 JavaScript 程式碼,從而啟動類似的感染鏈。該惡意軟體同樣會避開俄羅斯系統,透過 Solana 錢包取得酬載指令,並部署特定平台的威脅。
程式完全在記憶體中執行,利用了諸如 eval() 或 Node.js 沙箱等運行時技術,從而最大限度地減少了取證痕跡。此外,持久化機制透過在本地儲存時間戳,防止在 48 小時內再次感染。
進階規避和分散戰術
GlassWorm 的最新版本在傳播和隱藏方面展現出更高的複雜性。攻擊者利用 extensionPack 和 extensionDependencies 機制,透過受信任的擴展生態系統傳遞分發惡意負載。
與同一威脅行為者相關的早期攻擊活動曾利用不可見的Unicode字元隱藏惡意程式碼,入侵了超過151個GitHub程式碼庫。儘管混淆和傳播策略各不相同,但所有攻擊活動都依賴相同的基於Solana的基礎設施,這證實了其統一的行動框架。
惡意IDE擴充:針對開發者環境
該攻擊活動也透過一個名為 reditorsupporter.r-vscode-2.8.8-universal 的惡意擴充程式滲透到開發工具中,目標是 Windsurf IDE。該擴充功能偽裝成 R 語言支援插件,部署了一個基於 Node.js 的資訊竊取程式。
安裝完成後,該擴充功能會從區塊鏈交易中檢索加密的有效載荷,在記憶體中執行這些有效載荷,並部署編譯後的元件,以從基於 Chromium 的瀏覽器中提取敏感資料。它透過排程任務和 Windows 登錄修改來實現持久化,確保在系統啟動時自動執行。
該惡意軟體專門針對開發者環境,同時排除俄羅斯系統,這與其他 GlassWorm 變種的行為如出一轍。
規模和影響指標
安全分析表明,這次攻擊活動已對開源生態系統造成嚴重破壞,影響了多個平台上的 433 多個專案。這些專案包括 GitHub 程式碼庫(Python 和 JavaScript)、VS Code 擴充功能和 npm 程式庫。
所有感染路徑最終都匯聚到部署基於 JavaScript 的資訊竊取程式上,這凸顯了其一致的最終目標:竊取憑證和資料外洩。
- 已確認超過 433 個項目和軟體包遭到入侵
- 多種交付途徑,包括 GitHub、npm 和 IDE 擴展
- 持續使用 Solana 區塊鏈基礎設施進行有效載荷交付
- 所有型號的俄羅斯系統都被反覆排除在外
策略評估:供應鏈攻擊的新時代
ForceMemo攻擊活動標誌著軟體供應鏈威脅的顯著升級。它結合了隱藏的Git歷史記錄篡改、基於區塊鏈的C2基礎設施以及跨平台感染途徑,展現出攻擊者高度成熟的作戰能力。
基礎設施的重複利用以及不斷演進的交付機製表明,攻擊者俱備適應性,能夠在保持持久性和規避能力的同時擴展攻擊規模。這種從孤立攻擊到協同的、跨生態系統入侵的轉變,凸顯了現代開發環境和開源社群面臨的日益增長的風險。
