Кампания атаки на цепочку поставок GlassWorm возобновилась с новой, высококоординированной атакой, нацеленной на сотни пакетов, репозиториев кода и расширений для разработчиков на основных платформах, включая GitHub, npm и маркетплейсы Visual Studio Code/OpenVSX. Исследователи безопасности из Aikido, Socket, Step Security и сообщества OpenSourceMalware совместно идентифицировали 433 скомпрометированных компонента в этой последней волне атак, приписываемых угрозе GlassWorm. Масштаб и координация указывают на значительную эскалацию в охвате и изощренности кампании.
Технический анализ показывает, что за этими широкомасштабными атаками стоит единственный, устойчивый субъект угрозы. Ключевые доказательства включают последовательное использование конкретного адреса в блокчейне Solana для командования и управления (C2), развертывание идентичных или функционально схожих вредоносных нагрузок, а также повторное использование общей инфраструктуры в различных скомпрометированных компонентах. Эта модель подтверждает единую операцию, а не разрозненные, изолированные инциденты. Эволюция кампании демонстрирует стратегический сдвиг в сторону эксплуатации взаимосвязанной природы экосистемы программного обеспечения с открытым исходным кодом для максимизации воздействия.
GlassWorm был впервые задокументирован в октябре 2023 года, когда злоумышленники использовали умную технику обфускации с помощью "невидимых" символов Юникода для сокрытия вредоносного кода, предназначенного для кражи данных криптовалютных кошельков и учетных данных разработчиков. Кампания продолжалась несколькими волнами, расширив свое влияние на официальный маркетплейс Microsoft Visual Studio Code и реестр OpenVSX, используемый альтернативными IDE с открытым исходным кодом. Исследователь Джон Такнер из Secure Annex отметил это расширение, указав, что системы macOS также были целью через троянизированные клиенты для популярных аппаратных кошельков, таких как Trezor и Ledger.
Последняя волна атак является самой масштабной на сегодняшний день. Первоначальная компрометация обычно начинается на GitHub, где злоумышленники либо компрометируют существующие репозитории, либо создают вредоносные. Оттуда угроза распространяется на менеджеры пакетов, такие как npm, и в инструменты разработчиков через вредоносные расширения в маркетплейсах VSCode и OpenVSX. Такой многоплановый подход создает повсеместную цепочку заражения, где разработчик может невольно использовать вредоносную зависимость, применить скомпрометированный фрагмент кода или установить вредоносное расширение, что приводит к полной компрометации системы и утечке данных.
Эта кампания подчеркивает критическую и растущую угрозу безопасности цепочки поставок программного обеспечения. Она эксплуатирует присущее доверие внутри сообществ открытого исходного кода и автоматизированные рабочие процессы современной разработки. Для разработчиков и организаций бдительность имеет первостепенное значение. Рекомендации по безопасности включают тщательный аудит зависимостей, проверку целостности расширений из официальных источников, использование инструментов анализа состава программного обеспечения (SCA) и мониторинг аномальной сетевой активности или неожиданного использования учетных данных. Кампания GlassWorm является суровым напоминанием о том, что инструменты и репозитории, фундаментальные для инноваций, также являются первостепенными целями для сложных, устойчивых угроз.
