- Muling lumalabas ang GlassWorm na may tatlong malisyosong extension sa Open VSX na nakakaapekto sa VS Code.
- Paggamit ng mga hindi nakikitang Unicode na character at dynamic na C2 sa pamamagitan ng mga transaksyon sa Solana.
- Pagnanakaw ng mga kredensyal (GitHub, Open VSX at Git) at pag-alis ng laman ng 49 na extension ng crypto wallet.
- Pandaigdigang epekto sa mga biktima sa Europe at mga praktikal na rekomendasyon para sa mga developer at kumpanya.
ang kampanya ng malware Gumaganap na muli ang GlassWorm sa Visual Studio Code ecosystem na may bagong batch ng nakakahamak na mga extension na, sa petsa ng kamakailang pagsisiyasat, ay magagamit pa rin para sa pag-download sa Open VSX. Pinagsasama ng operasyon ang mga diskarte ng obfuscation sa hindi nakikitang Unicode at isang command at control infrastructure na ina-update sa pamamagitan ng mga transaksyon sa Solana blockchain.
Pagkatapos ng paunang paglilinis noong Oktubre, nang Inalis ng Open VSX ang mga nakakahamak na extension At pagkatapos i-rotate o bawiin ang mga nakompromisong token, muling lumitaw ang parehong aktor na may mga bagong artifact, muling nagta-target ng mga developer. Kasama sa layunin ang pagnanakaw ng mga kredensyal mula sa GitHub, Open VSX at Git, bilang karagdagan sa pag-alis ng laman ng mga pondo mula sa 49 na mga extension ng portfolio ng cryptocurrencies at ang pag-install ng mga kagamitan para sa malayuang pag-access.
Ano ang GlassWorm at paano ito nakakalusot sa VS Code ecosystem?
Ang GlassWorm ay isang campaign na sinasamantala Mga extension ng Visual Studio Code pareho sa Microsoft Marketplace at sa Open VSX registry para ipakilala ang malisyosong code. Ang natatanging katangian nito ay ang paggamit ng hindi nakikitang mga Unicode na character na hindi agad nakikita sa editor, ngunit nagbibigay-daan sa naka-embed na JavaScript na maisagawa sa loob ng mga extension na mukhang lehitimo.
Ang malware ay hindi lamang nagnanakaw ng impormasyon: naghahanap din ito nagpapalaganap ng sarili sa mode na "worm".pagkompromiso ng mga karagdagang account at proyekto sa mga ninakaw na kredensyal. Nagbibigay-daan ito sa kanila na palawakin ang kanilang abot sa pamamagitan ng paglalabas ng mga bagong bersyon ng mga extension, paglalagay ng mga backdoor, at pag-deploy ng mga tool. malayuang pag-access at keylogging sa mga apektadong kagamitan.
Ang isa pang partikular na sensitibong aspeto ng GlassWorm ay ang pagnanakaw ng wallet ng cryptocurrency sa pamamagitan ng dose-dosenang mga extension na nauugnay sa wallet. Ang kumbinasyong ito ng pagnanakaw ng pagkakakilanlan ng developer, pagmamanipula ng repositoryo, at mga pag-atake sa mga asset na pampinansyal ay ginagawang malaking panganib ang kampanya para sa mga teknikal na koponan at organisasyon sa Europa.
Ang bagong wave: mga extension na kasangkot at saklaw
Ayon sa independiyenteng pagsubaybay ng ilang mga koponan, ang aktor ay bumalik sa Open VSX na may tatlong extension na pareho obfuscation sa nakatagong Unicode at ang parehong paraan ng pag-update ng C2 ni Solana. Magkasama, madali silang lumampas sa 10.000 descargas, isang volume na maaaring palakihin ng mismong umaatake para magkaroon ng kredibilidad.
- ai-driven-dev.ai-driven-dev
- adhamu.history-in-sublime-merge
- yasuyuky.transient-emacs
Bagama't ipinakilala ng Open VSX ang mga pananggalang pagkatapos ng unang insidente, ang mga ito Tatlong extension ang nagawang iwasan ang mga ito. gamit ang parehong mga diskarte sa pagtatago. Sa oras na nai-publish ang huling pagsusuri, available pa rin ang mga ito sa registry, na binibigyang-diin ang pangangailangang palakasin ang mga kontrol at para sa mga user na suriin ang kanilang mga kapaligiran.
Imprastraktura ng pag-atake at pagpapatungkol
Ina-update ng operator ng GlassWorm ang mga address nito utos at kontrol pag-publish ng mga murang transaksyon sa network ng Solana. Ang diskarte na ito ay nagbibigay ng katatagan: kung ang isang payload server ay nabigo, ito ay sapat na upang maglabas ng bagong transaksyon upang awtomatikong makuha ng mga nahawaang computer ang na-update na lokasyon.
Isang hindi sinasadyang pagkakalantad ng a endpoint ng server ng attacker Nagbigay-daan ito para sa pagsasama-sama ng isang bahagyang listahan ng mga biktima na may presensya sa United States, South America, Europe, at Asia, kabilang ang isang entity ng gobyerno sa Middle Eastern. Bagaman ang mga partikular na organisasyong Espanyol ay hindi pa detalyado, ang saklaw ng Europa ay nagmumungkahi na mga koponan sa EU Maaaring nasa crosshairs sila.
Nabawi din ng forensic analysis ang mga talaan ng keylogger mula sa operatorIminumungkahi nito na ang salarin ay nagsasalita ng Ruso at gumagamit ng open-source na framework ng RedExt bilang bahagi ng kanilang imprastraktura ng C2 na nakabatay sa browser. Ang mga pirasong ito ay magkasya sa isang aktor na pinagsasama ang teknikal na kadalubhasaan, pagtitiyaga, at kakayahang umangkop.
Timeline ng campaign at mga apektadong platform
Ang GlassWorm ay unang naidokumento noong huling bahagi ng Oktubre, na may isang dosenang mga extension sa VS Code at Open VSX marketplaces na naipon sa paligid. sampu-sampung libong mga pag-download (isang figure na malamang na napalaki). Kasunod ng unang suntok na iyon, inalis ng Open VSX ang nakitang nilalaman at pinaikot o binawi na mga token mga kasama noong Oktubre 21.
Malayo sa pagbagal, ang aktor ay umikot patungo GitHubgamit ang mga ninakaw na kredensyal para itulak ang mga malisyosong commit sa mga repositoryo. Pagkalipas ng ilang linggo, bumalik ito sa Open VSX registry kasama ang tatlong nabanggit na extension, na pinalawak ang kampanya sa maraming larangan, kabilang ang GitHub, NPM, at Open VSXAng mga mananaliksik ay nagbilang ng hindi bababa sa 60 iba't ibang biktima sa isang bahagyang listahan, na nagmumungkahi na ang aktwal na epekto ay maaaring mas malaki.
Mga hakbang sa pagpapagaan at rekomendasyon para sa Europa at Espanya
Para sa mga development team: suriin ang imbentaryo ng mga extension na naka-install sa VS Code, i-uninstall ang mga kahina-hinala at suriin ang Open VSX/Microsoft editor para i-verify ang status ng publisher. Ito ay nagkakahalaga ng pagbibigay pansin sa... magkatulad o ginagaya na mga pangalan, mga hindi tipikal na valuation at kamakailang pagbabago sa maintainer.
Tungkol sa mga kredensyal, ito ay inirerekomenda paikutin ang mga token at key Mula sa GitHub/Open VSX/Git, bawiin ang mga hindi nagamit na PAT, paganahin ang 2FA, at suriin ang mga susi SSHDapat palakasin ng mga organisasyon ang mga patakaran sa lagda at pagsusuri ng mga pagbabago (proteksyon ng sangay, mandatoryong pagsusuri) at subaybayan ang integridad sa mga pipeline ng CI/CD.
Upang bawasan ang panganib, paganahin ang editor pagpapakita ng mga hindi nakikitang karakterMaglapat ng mga linter at panuntunan sa seguridad na nakakatuklas ng kahina-hinalang Unicode, at i-pin ang mga kritikal na dependency at extension. Iwasang mag-install ng mga extension mula sa mga nakabahaging link o hindi na-verify na mga mapagkukunan.
Kung pinaghihinalaan ang kompromiso: ihiwalay ang kagamitan, bawiin ang mga aktibong session Para sa mga supplier, i-audit ang mga repositoryo at mga trade secret, at abisuhan ang registry/marketplace at mga ahensyang nagpapatupad ng batas. Sa EU, tasahin ang mga obligasyon sa pag-abiso sa ilalim ng GDPR at NIS2 kung saan naaangkop, at makipag-ugnayan sa mga apektado.
Ang ebolusyon ng GlassWorm ay nagpapakita ng kakayahan ng mga umaatake na upang muling pangkat at bumalik na may mga bagong extension at nababanat na C2 channel. Para sa sektor ng teknolohiyang European, ang priyoridad ay palakasin ang mga kontrol sa mga kapaligiran ng pag-unlad, higpitan ang pamamahala ng kredensyal, at dagdagan ang pangangasiwa sa mga extension at repository, pag-iwas sa maling pakiramdam ng seguridad kasunod ng pansamantalang pag-withdraw.
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.