- GlassWorm ilmestyy uudelleen Open VSX:ään kolmen haitallisen laajennuksen kanssa, jotka vaikuttavat VS Codeen.
- Näkymättömien Unicode-merkkien ja dynaamisen C2:n käyttö Solanan tapahtumissa.
- Tunnusten (GitHub, Open VSX ja Git) varastaminen ja 49 kryptolompakkolaajennuksen tyhjentäminen.
- Globaali vaikutus uhrien kanssa Euroopassa ja käytännön suosituksia kehittäjille ja yrityksille.
kampanjan haittaohjelmat GlassWorm on taas tositoimissa Visual Studio Code -ekosysteemissä uudella erällä haitalliset laajennukset jotka olivat viimeisimmän tutkimuksen aikaan edelleen ladattavissa Open VSX:stä. Toiminto yhdistää tekniikoita, hämärtäminen näkymättömällä Unicode-koodilla ja komento- ja ohjausinfrastruktuuri, jota päivitetään Solanan lohkoketjun tapahtumien kautta.
Lokakuussa tapahtuneen alkupuhdistuksen jälkeen, kun Open VSX poisti haitalliset laajennukset Ja vaarantuneiden tokeneiden kierrättämisen tai peruuttamisen jälkeen sama toimija on ilmestynyt uudelleen uusien esineiden kanssa, jälleen kehittäjiä vastaan. Tavoitteena on varastaa tunnistetiedot GitHub, Open VSX ja Git, 49 salkunlaajennuksen varojen tyhjentämisen lisäksi kryptovaluutta ja etäkäyttöä varten tarkoitettujen apuohjelmien asentaminen.
Mikä on GlassWorm ja miten se on tunkeutumassa VS Code -ekosysteemiin?
GlassWorm on kampanja, joka hyödyntää Visual Studio -koodin laajennukset sekä Microsoft Marketplacessa että Open VSX -rekisterissä haitallisen koodin lisäämiseksi. Sen erottuva ominaisuus on näkymättömät Unicode-merkit jotka eivät ole välittömästi näkyvissä editorissa, mutta jotka mahdollistavat upotetun JavaScriptin suorittamisen laillisilta vaikuttavissa laajennuksissa.
Haittaohjelma ei ainoastaan varasta tietoja: se myös pyrkii itseään levittämään "mato"-tilassavaarantaen lisää tilejä ja projekteja varastetuilla tunnistetiedoilla. Näin he voivat laajentaa toimintaansa julkaisemalla uusia laajennusversioita, lisäämällä takaportteja ja ottamalla käyttöön työkaluja. etäkäyttö ja näppäinpainallusten tallentaminen kyseisessä laitteessa.
Toinen erityisen herkkä GlassWormin osa-alue on kryptovaluuttalompakon varkaus kymmenien lompakkoihin liittyvien laajennusten kautta. Tämä kehittäjien identiteettivarkauksien, tietovarastojen manipuloinnin ja rahoitusvaroihin kohdistuvien hyökkäysten yhdistelmä tekee kampanjasta merkittävän riskin eurooppalaisille teknisille tiimeille ja organisaatioille.
Uusi aalto: laajennukset ja niiden laajuus
Useiden tiimien riippumattoman seurannan mukaan näyttelijä on palannut Open VSX:ään kolmella saman kaavan omaavalla laajennuksella. hämärtäminen piilotetulla Unicode-koodilla ja samaa Solanan C2-päivitysmenetelmää. Yhdessä ne ylittävät helposti 10.000 descargas, volyymia, jota hyökkääjä itse voi paisuttaa uskottavuuden lisäämiseksi.
- tekoälyllä toimiva kehitys.ai-driven-dev
- adhamu.history-in-sublime-merge
- yasuyuky.transient-emacs
Vaikka Open VSX otti käyttöön suojatoimia ensimmäisen tapauksen jälkeen, nämä Kolme laajennusta on onnistunut kiertämään ne. käyttäen samoja peittämistekniikoita. Viimeisimmän analyysin julkaisuhetkellä ne olivat edelleen saatavilla rekisterissä, mikä korostaa tarvetta vahvistaa valvontaa ja antaa käyttäjille mahdollisuus tarkastella ympäristöjään.
Hyökkäysinfrastruktuuri ja attribuutio
GlassWormin operaattori päivittää osoitteitaan komento ja hallinta halpojen tapahtumien julkaiseminen Solana-verkossa. Tämä lähestymistapa tarjoaa joustavuutta: jos hyötykuormapalvelin vikaantuu, riittää, että käynnistä uusi tapahtuma jotta tartunnan saaneet tietokoneet hakevat automaattisesti päivitetyn sijainnin.
Vahingossa tapahtunut altistuminen hyökkääjän palvelimen päätepiste Tämä mahdollisti osittaisen luettelon laatimisen uhreista, joilla on läsnäolo Yhdysvalloissa, Etelä-Amerikassa, Euroopassa ja Aasiassa, mukaan lukien Lähi-idän hallituksen yksikkö. Vaikka tiettyjä espanjalaisia organisaatioita ei ole eritelty, eurooppalainen laajuus viittaa siihen, että joukkueet EU:ssa Ne saattavat olla tähtäysristikossa.
Oikeuslääketieteellisessä analyysissä löydettiin myös tietoja operaattorin näppäinpainallusten tallenninTämä viittaa siihen, että tekijä on venäjänkielinen ja käyttää avoimen lähdekoodin RedExt-kehystä osana selainpohjaista C2-infrastruktuuriaan. Nämä osat sopivat yhteen toimijan kanssa, joka yhdistää teknisen asiantuntemuksen, sinnikkyyden ja sopeutumiskyvyn.
Kampanjan aikajana ja asiaankuuluvat alustat
GlassWorm dokumentoitiin ensimmäisen kerran lokakuun lopulla, ja VS Code- ja Open VSX -markkinapaikoille on ilmestynyt tusinan verran laajennuksia. kymmeniä tuhansia latauksia (luku on todennäköisesti liioiteltu). Tämän alkuiskun jälkeen Open VSX poisti havaitun sisällön ja kierretyt tai peruutetut tunnukset yhteistyökumppanit 21. lokakuuta.
Näyttelijä ei hidastanut vauhtia, vaan kääntyi kohti GitHubkäyttäen varastettuja tunnistetietoja haitallisten committien lähettämiseen repositorioihin. Viikkoja myöhemmin se palasi Open VSX -rekisteriin kolmella edellä mainitulla laajennuksella, laajentaen kampanjaa useille rintamille, mukaan lukien GitHub, NPM ja avoin VSXTutkijat ovat laskeneet ainakin 60 eri uhria osittaisessa luettelossa, mikä viittaa siihen, että todellinen vaikutus voisi olla suurempi.
Lieventämistoimenpiteet ja suositukset Euroopalle ja Espanjalle
Kehitystiimeille: tarkista inventaario VS Codeen asennetut laajennukset, poista epäilyttävät ja tarkista julkaisijan tila Open VSX/Microsoft-editorista. Kannattaa kiinnittää huomiota... samankaltaisia tai henkilöllisyyden anastaneita nimiä, epätyypilliset arvostukset ja ylläpitäjän viimeaikaiset muutokset.
Valtakirjojen osalta suositellaan kierrätä tokeneita ja avaimia Peruuta käyttämättömät PAT-avaimet, ota käyttöön 2FA ja tarkista avaimet GitHubista/Open VSX:stä/Gitistä SSHOrganisaatioiden tulisi vahvistaa käytäntöjä, jotka koskevat muutosten allekirjoittaminen ja tarkistaminen (haarautumissuojaus, pakolliset tarkastukset) ja CI/CD-putkien eheyden valvonta.
Riskipinnan pienentämiseksi ota editori käyttöön näkymättömien merkkien näyttöKäytä linttereitä ja suojaussääntöjä, jotka havaitsevat epäilyttävät Unicode-koodit, ja kiinnitä kriittiset riippuvuudet ja laajennukset. Vältä laajennusten asentamista jaetuista linkeistä tai vahvistamattomista lähteistä.
Jos epäillään vaarantumista: eristä laitteet, peruuta aktiiviset istunnot Toimittajien osalta tarkasta tietovarastot ja liikesalaisuudet sekä ilmoita niistä rekisterille/markkinapaikalle ja lainvalvontaviranomaisille. EU:ssa arvioi ilmoitusvelvollisuuksia GDPR ja NIS2 tarvittaessa ja koordinoi viestintää asianosaisten kanssa.
GlassWormin kehitys osoittaa hyökkääjien kyvyn ryhmittyä uudelleen ja palata uusien laajennusten ja vikasietoisten C2-kanavien avulla. Euroopan teknologiasektorilla prioriteettina on vahvistaa kehitysympäristöjen valvontaa, tiukentaa tunnistetietojen hallintaa ja lisätä laajennusten ja tietovarastojen valvontaa, jotta vältetään väärä turvallisuudentunne tilapäisen peruutuksen jälkeen.
Intohimoinen kirjoittaja tavujen maailmasta ja tekniikasta yleensä. Rakastan jakaa tietämykseni kirjoittamalla, ja sen aion tehdä tässä blogissa, näyttää sinulle kaikki mielenkiintoisimmat asiat vempaimista, ohjelmistoista, laitteistoista, teknologisista trendeistä ja muusta. Tavoitteeni on auttaa sinua navigoimaan digitaalisessa maailmassa yksinkertaisella ja viihdyttävällä tavalla.