- GlassWorm se ponovno pojavi s tremi zlonamernimi razširitvami v Open VSX, ki vplivajo na VS Code.
- Uporaba nevidnih znakov Unicode in dinamičnega C2 prek transakcij v Solani.
- Kraja poverilnic (GitHub, Open VSX in Git) in izpraznitev 49 razširitev kripto denarnic.
- Globalni vpliv na žrtve v Evropi in praktična priporočila za razvijalce in podjetja.
kampanja za zlonamerna programska oprema GlassWorm je spet v akciji v ekosistemu Visual Studio Code z novo serijo zlonamerne razširitve ki so bili na dan nedavne preiskave še vedno na voljo za prenos na Open VSX. Operacija združuje tehnike zatemnitev z nevidnim Unicodeom in infrastrukturo za upravljanje in nadzor, ki se posodablja s transakcijami na verigi blokov Solana.
Po začetnem čistki oktobra, ko Open VSX je odstranil zlonamerne razširitve In po rotaciji ali preklicu ogroženih žetonov se je isti akter ponovno pojavil z novimi artefakti, spet usmerjen na razvijalce. Cilj vključuje krajo poverilnic iz GitHub, Open VSX in Git, poleg izpraznitve sredstev iz 49 razširitev portfelja kriptokvocnosti in namestitev pripomočkov za oddaljeni dostop.
Kaj je GlassWorm in kako prodira v ekosistem VS Code?
GlassWorm je kampanja, ki izkorišča Razširitve kode Visual Studio tako v Microsoft Marketplace kot v register Open VSX za vnos zlonamerne kode. Njegova posebnost je uporaba nevidni znaki Unicode ki niso takoj vidne v urejevalniku, vendar omogočajo izvajanje vdelanega JavaScripta znotraj razširitev, ki so videti legitimne.
Zlonamerna programska oprema ne krade le informacij, ampak tudi išče samorazmnoževanje v načinu "črva"ogrožanje dodatnih računov in projektov z ukradenimi poverilnicami. To jim omogoča, da razširijo svoj doseg z izdajanjem novih različic razširitev, vstavljanjem zadnjih vrat in uvajanjem orodij. oddaljeni dostop in beleženje tipk na prizadeti opremi.
Drug posebej občutljiv vidik GlassWorma je plenjenje denarnic s kriptovalutami prek številnih razširitev, povezanih z denarnicami. Zaradi te kombinacije kraje identitete razvijalcev, manipulacije z repozitoriji in napadov na finančna sredstva je kampanja veliko tveganje za evropske tehnične ekipe in organizacije.
Novi val: vključene razširitve in obseg
Glede na neodvisno spremljanje več ekip se je igralec vrnil v Open VSX s tremi razširitvami, ki si delijo isto zatemnitev s skritim Unicodeom in isto metodo posodabljanja C2, ki jo je uporabil Solana. Skupaj zlahka presežeta 10.000 descargas, obseg, ki bi ga lahko napadalec sam napihnil, da bi si pridobil verodostojnost.
- razvoj-s-umetno-razvojem.razvoj-s-umetno-razvojem
- adhamu.history-in-sublime-merge
- yasuyuky.transient-emacs
Čeprav je Open VSX po prvem incidentu uvedel zaščitne ukrepe, so ti Trije podaljški so se jim uspeli izogniti. z uporabo istih tehnik prikrivanja. V času objave zadnje analize so bili še vedno na voljo v registru, kar poudarja potrebo po okrepitvi nadzora in po tem, da uporabniki pregledajo svoja okolja.
Infrastruktura napadov in atribucija
Upravljavec GlassWorma posodablja svoje naslove poveljevanje in nadzor objavljanje poceni transakcij v omrežju Solana. Ta pristop zagotavlja odpornost: če strežnik koristnega tovora odpove, je dovolj, da izdati novo transakcijo tako da okuženi računalniki samodejno pridobijo posodobljeno lokacijo.
Nenamerna izpostavljenost končna točka napadalčevega strežnika To je omogočilo sestavo delnega seznama žrtev, prisotnih v Združenih državah Amerike, Južni Ameriki, Evropi in Aziji, vključno z vladno entiteto Bližnjega vzhoda. Čeprav specifične španske organizacije niso bile podrobno opisane, evropski obseg kaže, da ekipe v EU Morda so v križcu.
Forenzična analiza je odkrila tudi zapise keylogger od operaterjaTo nakazuje, da storilec govori rusko in uporablja odprtokodni okvir RedExt kot del svoje infrastrukture C2, ki temelji na brskalniku. Ti deli se ujemajo z akterjem, ki združuje tehnično znanje, vztrajnost in prilagodljivost.
Časovnica kampanje in prizadete platforme
GlassWorm je bil prvič dokumentiran konec oktobra, ko se je na tržnicah VS Code in Open VSX nabralo ducat razširitev. več deset tisoč prenosov (številka je verjetno napihnjena). Po tem začetnem udarcu je Open VSX odstranil zaznano vsebino in rotirani ali preklicani žetoni sodelavci 21. oktobra.
Igralec se ni upočasnil, ampak se je obrnil proti GitHubz uporabo ukradenih poverilnic za pošiljanje zlonamernih potrjevanj v repozitorije. Nekaj tednov pozneje se je vrnil v register Open VSX s tremi prej omenjenimi razširitvami, s čimer je kampanjo razširil na več front, vključno z GitHub, NPM in Open VSXRaziskovalci so našteli vsaj 60 različnih žrtev na delnem seznamu, kar kaže na to, da bi bil dejanski vpliv lahko večji.
Blažilni ukrepi in priporočila za Evropo in Španijo
Za razvojne ekipe: pregled inventarja razširitve, nameščene v VS Code, odstranite sumljive in preverite urejevalnik Open VSX/Microsoft, da preverite status založnika. Vredno je biti pozoren na ... podobna ali poosebljena imena, netipične vrednotenja in nedavne spremembe s strani vzdrževalca.
Glede poverilnic je priporočljivo vrtenje žetonov in ključev Iz GitHub/Open VSX/Git prekličite neuporabljene PAT-e, omogočite 2FA in preglejte ključe SSHOrganizacije bi morale okrepiti politike glede podpis in pregled sprememb (zaščita vej, obvezni pregledi) in spremljanje integritete v cevovodih CI/CD.
Za zmanjšanje površine tveganja omogočite urejevalnik prikaz nevidnih znakovUporabite linterje in varnostna pravila, ki zaznajo sumljive kode Unicode, in pripnite kritične odvisnosti in razširitve. Izogibajte se nameščanju razširitev iz deljenih povezav ali nepreverjeni viri.
Če obstaja sum ogrožanja: izolirajte opremo, prekliči aktivne seje Za dobavitelje, repozitorije za revizijo in poslovne skrivnosti ter obvestiti register/tržnico in organe pregona. V EU oceniti obveznosti obveščanja v skladu GDPR in NIS2 kjer je to primerno, in usklajevati komunikacijo s prizadetimi.
Razvoj GlassWorma dokazuje sposobnost napadalcev, da pregrupirati se in vrniti z novimi razširitvami in odpornimi kanali C2. Za evropski tehnološki sektor je prednostna naloga okrepiti nadzor v razvojnih okoljih, poostriti upravljanje poverilnic in povečati nadzor nad razširitvami in repozitoriji, s čimer se prepreči lažen občutek varnosti po začasnem umiku.
Strasten pisec o svetu bajtov in tehnologije nasploh. Rad delim svoje znanje s pisanjem in to je tisto, kar bom počel v tem blogu, saj vam bom pokazal vse najbolj zanimive stvari o pripomočkih, programski opremi, strojni opremi, tehnoloških trendih in še več. Moj cilj je, da vam pomagam krmariti po digitalnem svetu na preprost in zabaven način.