A GlassWorm malware kampány tavalyi megjelenése után ismét aktívvá vált, ezúttal három új Visual Studio Code (VSCode) kiterjesztés formájában, amelyek már több mint 10 000 alkalommal töltődtek le az OpenVSX piactéren. Ez a rosszindulatú program komoly fenyegetést jelent a fejlesztők és kriptovaluta-felhasználók számára, mivel képes ellopni GitHub, NPM és OpenVSX fiókadatokat, valamint kriptotárca-információkat.
Mi az a GlassWorm és hogyan működik?
A GlassWorm egy komplex malware kampány, amely a Solana blokklánc tranzakcióit használja fel arra, hogy egy rosszindulatú kódot töltsön le és futtasson. Ez a kód elsősorban fejlesztői fiókokhoz – például GitHub, NPM és OpenVSX – valamint kriptovaluta tárcákhoz fér hozzá. A kampány során összesen 49 különböző kiterjesztés érintett volt.
A támadás egyik különlegessége, hogy a rosszindulatú kód láthatatlan Unicode karaktereket használ, amelyek ugyan üres helyként jelennek meg, de JavaScriptként futnak le. Ez az eljárás lehetővé teszi a káros műveletek végrehajtását anélkül, hogy a felhasználó vagy a biztonsági rendszerek könnyen észrevennék.
A GlassWorm első megjelenése és hatása
A malware először 12 kiterjesztés formájában jelent meg a Microsoft VS Code és az OpenVSX piactereken, amelyeket összesen 35 800 alkalommal töltöttek le. Azonban szakértők szerint ez a letöltésszám valószínűleg túlzottan fel van fújva a támadó által, így a kampány valódi hatása nehezen mérhető.
Az incidensre reagálva az OpenVSX biztonsági intézkedéseket vezetett be: hozzáférési tokeneket cseréltek ki egy ismeretlen számú érintett fiók esetében, továbbá megerősítették rendszerük védelmét és lezárták az ügyet.
GlassWorm visszatér – új VSCode kiterjesztések az OpenVSX-en
A Koi Security kutatócég jelentése szerint a támadó visszatért az OpenVSX piactérre ugyanazzal az infrastruktúrával, de frissített parancs- és vezérlőszerverekkel (C2) és Solana tranzakciókkal. A három új kiterjesztés, amelyek már elérhetők és tartalmazzák a GlassWorm payloadját:
- ai-driven-dev.ai-driven-dev – 3 400 letöltés
- adhamu.history-in-sublime-merge – 4 000 letöltés
- yasuyuky.transient-emacs – 2 400 letöltés
A Koi Security megerősítette, hogy mindhárom kiterjesztés ugyanazt az invisible Unicode karakterekkel történő elrejtési technikát alkalmazza, mint az eredeti fájlok. Ez azt mutatja, hogy az új biztonsági intézkedések ellenére még mindig hatékonyan képesek áthatolni az OpenVSX védelmén.
A rejtett payload működése és célpontjai
A GlassWorm operátorai nem riadtak vissza attól sem, hogy korábbi leleplezésük után átpártoljanak más platformokra, például GitHubra. Azonban mostani visszatérésük az OpenVSX-re azt jelzi, hogy több platformon is folytatni kívánják tevékenységüket.
A támadók infrastruktúrájának feltárása
Egy anonim bejelentésnek köszönhetően a Koi Security hozzáférést kapott a támadók szerveréhez, ahol kulcsfontosságú adatokat találtak az áldozatokról. Az adatok alapján világméretű fertőzésről van szó: érintettek vannak az Egyesült Államokban, Dél-Amerikában, Európában, Ázsiában és még egy közel-keleti kormányzati szervezetnél is.
A kutatók szerint a támadók oroszul beszélnek és a RedExt nevű nyílt forráskódú C2 böngészőbővítmény keretrendszert használják irányítási célokra.
Az áldozatok száma és további lépések
A Koi Security eddig mintegy 60 különálló áldozatot tudott azonosítani – ez azonban csak egyetlen feltárt végpontból származó részleges lista. Az összes adatot átadták a hatóságoknak, beleértve több kriptovaluta tőzsde és üzenetküldő platform felhasználói azonosítóit is. Jelenleg folyamatban van az érintett szervezetek tájékoztatása.
Megelőzés és védekezés – mit tehetnek a fejlesztők?
Mivel a GlassWorm továbbra is elérhető három fertőzött kiterjesztés formájában az OpenVSX-en, fontos, hogy minden fejlesztő körültekintően járjon el:
- Tisztítsa meg régi hozzáférési kulcsait: Rendszeresen cserélje le API-kulcsait és tokenjeit.
- Állítson be biztonsági korlátokat AI által generált kódok esetén: Ellenőrizze manuálisan vagy automatizált eszközökkel a beépülő modulokat.
- Kövesse nyomon a telepített bővítményeket: Csak megbízható forrásból származó kiterjesztéseket használjon.
- Készítsen biztonsági mentéseket: Rendszeresen mentse adatállományait és konfigurációit.
Egy jól összeállított titkoskezelési útmutató segíthet abban, hogy csapata már a fejlesztés kezdetén biztonságosan építkezzen.
