- GlassWorm taucht mit drei bösartigen Erweiterungen in Open VSX wieder auf, die VS Code beeinträchtigen.
- Verwendung unsichtbarer Unicode-Zeichen und dynamischer C2-Transaktionen in Solana.
- Diebstahl von Zugangsdaten (GitHub, Open VSX und Git) und Entleerung von 49 Krypto-Wallet-Erweiterungen.
- Globale Auswirkungen mit Opfern in Europa und praktische Empfehlungen für Entwickler und Unternehmen.
Die Kampagne Malware GlassWorm ist wieder im Einsatz im Visual Studio Code-Ökosystem mit einer neuen Reihe von schädliche Erweiterungen die zum Zeitpunkt der jüngsten Untersuchung noch immer auf Open VSX zum Download verfügbar waren. Die Operation kombiniert Techniken von Verschleierung mit unsichtbarem Unicode und eine Kommando- und Kontrollinfrastruktur, die durch Transaktionen auf der Solana-Blockchain aktualisiert wird.
Nach einer ersten Säuberungsaktion im Oktober, als Open VSX hat schädliche Erweiterungen entfernt Nachdem kompromittierte Tokens rotiert oder widerrufen wurden, taucht derselbe Akteur mit neuen Artefakten wieder auf und zielt erneut auf Entwickler ab. Ziel ist es unter anderem, Zugangsdaten zu stehlen. GitHub, Open VSX und Gitzusätzlich zur Auflösung von 49 Portfolioerweiterungen criptomonedas und die Installation von Hilfsprogrammen für den Fernzugriff.
Was ist GlassWorm und wie dringt es in das VS Code-Ökosystem ein?
GlassWorm ist eine Kampagne, die sich Vorteile verschafft Visual Studio Code-Erweiterungen sowohl im Microsoft Marketplace als auch in der Open VSX-Registry, um Schadcode einzuschleusen. Das charakteristische Merkmal ist die Verwendung von unsichtbare Unicode-Zeichen die im Editor nicht sofort ersichtlich sind, aber die es ermöglichen, eingebettetes JavaScript innerhalb von Erweiterungen auszuführen, die legitim erscheinen.
Schadsoftware stiehlt nicht nur Informationen, sondern sucht auch nach Selbstvermehrung im "Wurm"-ModusDurch die Kompromittierung weiterer Konten und Projekte mit den gestohlenen Zugangsdaten können die Angreifer ihre Reichweite vergrößern, indem sie neue Versionen von Erweiterungen veröffentlichen, Hintertüren einbauen und Tools bereitstellen. Fernzugriff und Keylogging auf den betroffenen Geräten.
Ein weiterer besonders sensibler Aspekt von GlassWorm ist die Plünderung von Kryptowährungs-Wallets durch Dutzende von Wallet-bezogenen Erweiterungen. Diese Kombination aus Identitätsdiebstahl von Entwicklern, Manipulation von Repositories und Angriffen auf Finanzanlagen macht die Kampagne zu einem erheblichen Risiko für europäische IT-Teams und Organisationen.
Die neue Welle: Erweiterungen und Umfang
Laut unabhängigen Recherchen mehrerer Teams ist der Schauspieler mit drei Erweiterungen zu Open VSX zurückgekehrt, die dasselbe gemeinsam haben. Verschleierung mit verstecktem Unicode und dieselbe C2-Update-Methode von Solana. Zusammen übertreffen sie die 10.000 Descargas, ein Umfang, der vom Angreifer selbst aufgebläht werden könnte, um Glaubwürdigkeit zu erlangen.
- KI-gesteuerte Entwicklung
- adhamu.history-in-sublime-merge
- yasuyuky.transient-emacs
Obwohl Open VSX nach dem ersten Vorfall Sicherheitsvorkehrungen einführte, diese Drei Erweiterungen konnten sich ihnen entziehen. Sie nutzten dieselben Verschleierungstechniken. Zum Zeitpunkt der Veröffentlichung der letzten Analyse waren sie noch im Register verfügbar, was die Notwendigkeit unterstreicht, die Kontrollen zu verstärken und die Benutzer aufzufordern, ihre Umgebungen zu überprüfen.
Angriffsinfrastruktur und Zuordnung
Der Betreiber von GlassWorm aktualisiert seine Adressen Befehl und Kontrolle Die Veröffentlichung kostengünstiger Transaktionen im Solana-Netzwerk bietet Ausfallsicherheit: Fällt ein Payload-Server aus, genügt es, Eine neue Transaktion ausgeben damit infizierte Computer automatisch den aktualisierten Standort erhalten.
Eine versehentliche Exposition Server-Endpunkt des Angreifers Dies ermöglichte die Erstellung einer Teilliste von Opfern mit Präsenz in den Vereinigten Staaten, Südamerika, Europa und Asien, einschließlich einer staatlichen Einrichtung im Nahen Osten. Obwohl spezifische spanische Organisationen nicht detailliert aufgeführt wurden, lässt der europäische Fokus darauf schließen, dass Teams in der EU Sie könnten im Fadenkreuz stehen.
Die forensische Analyse förderte auch Aufzeichnungen zutage, Keylogger vom BetreiberDies deutet darauf hin, dass der Täter russischsprachig ist und das Open-Source-Framework RedExt als Teil seiner browserbasierten C2-Infrastruktur nutzt. Diese Indizien ergeben zusammen das Bild eines Akteurs, der technisches Fachwissen, Beharrlichkeit und Anpassungsfähigkeit vereint.
Kampagnenzeitplan und betroffene Plattformen
GlassWorm wurde erstmals Ende Oktober dokumentiert, und es haben sich bereits etwa ein Dutzend Erweiterungen auf den Marktplätzen von VS Code und Open VSX angesammelt. Zehntausende Downloads (eine wahrscheinlich überhöhte Zahl). Nach diesem ersten Rückschlag entfernte Open VSX die erkannten Inhalte und rotierte oder widerrufene Token Mitarbeiter am 21. Oktober.
Anstatt langsamer zu werden, wandte sich der Schauspieler anderen Dingen zu GitHubMithilfe gestohlener Zugangsdaten wurden schädliche Änderungen in Repositories eingespielt. Wochen später kehrte der Schadcode mit den drei zuvor genannten Erweiterungen in die Open VSX Registry zurück und dehnte die Kampagne auf mehrere Fronten aus, darunter GitHub, NPM und Open VSXForscher haben mindestens 60 verschiedene Opfer in einer unvollständigen Liste, was darauf hindeutet, dass die tatsächlichen Auswirkungen größer sein könnten.
Abschwächungsmaßnahmen und Empfehlungen für Europa und Spanien
Für Entwicklungsteams: Überprüfen Sie das Inventar von In VS Code installierte Erweiterungen, Deinstalliere die verdächtigen Programme. Überprüfen Sie außerdem den Open VSX/Microsoft-Editor, um den Status des Herausgebers zu verifizieren. Es lohnt sich, darauf zu achten… ähnliche oder nachgeahmte Namenatypische Bewertungen und kürzliche Änderungen durch den Betreiber.
Bezüglich der Anmeldeinformationen wird Folgendes empfohlen: Spielsteine und Schlüssel drehen In GitHub/Open VSX/Git können Sie ungenutzte PATs widerrufen, die Zwei-Faktor-Authentifizierung aktivieren und die Schlüssel überprüfen. SSHOrganisationen sollten ihre Richtlinien zu folgenden Punkten stärken: Unterzeichnung und Prüfung der Änderungen (Zweigschutz, obligatorische Überprüfungen) und Überwachung der Integrität in CI/CD-Pipelines.
Um die Risikofläche zu verringern, aktivieren Sie den Editor. Anzeige unsichtbarer ZeichenVerwenden Sie Linter und Sicherheitsregeln, die verdächtigen Unicode erkennen, und fixieren Sie kritische Abhängigkeiten und Erweiterungen. Vermeiden Sie die Installation von Erweiterungen über freigegebene Links oder unbestätigte Quellen.
Bei Verdacht auf Kompromittierung: Geräte isolieren. Aktive Sitzungen widerrufen Lieferanten müssen Prüfregister und Geschäftsgeheimnisse einsehen und die Register/Marktplätze sowie die Strafverfolgungsbehörden benachrichtigen. In der EU sind die Meldepflichten gemäß den geltenden Bestimmungen zu prüfen. DSGVO und NIS2 wo angebracht, und die Kommunikation mit den Betroffenen koordinieren.
Die Entwicklung von GlassWorm demonstriert die Fähigkeit der Angreifer, sich neu zu formieren und zurückzukehren Mit neuen Erweiterungen und robusten C2-Kanälen. Für den europäischen Technologiesektor liegt die Priorität darin, die Kontrollen in Entwicklungsumgebungen zu stärken, das Berechtigungsmanagement zu verschärfen und die Überwachung von Erweiterungen und Repositories zu intensivieren, um ein falsches Sicherheitsgefühl nach einem vorübergehenden Rückzug zu vermeiden.
Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.