Malvérová kampaň Glassworm sa znovu objavila v bezprecedentnom rozsahu a za posledný týždeň nasadila 24 škodlivých rozšírení v rámci Microsoft Visual Studio Marketplace a OpenVSX.
Táto posledná vlna útokov demonštruje pretrvávajúcu hrozbu, ktorú predstavujú kompromisy dodávateľského reťazca zamerané na vývojárske nástroje.
Malvér špecificky klonuje legitímne rozšírenia pre populárne rámce vrátane Flutter, Tailwind, Vim, Yaml, Svelte, React Native a Vue, čo vývojárom sťažuje rozlíšenie medzi autentickými a podvodnými balíkmi.
Mechanizmus útoku využíva dôveru, ktorú vývojári vkladajú do trhov s rozšíreniami, tým, že na začiatku zverejňujú zdanlivo legitímne balíky, ktoré prechádzajú kontrolou zabezpečenia.
Populárny klon rozšírenia (zdroj – zabezpečená príloha)
Po schválení rozšírenia dostávajú aktualizácie obsahujúce skrytý škodlivý kód, čo útočníkom umožňuje obísť existujúce bezpečnostné filtre.
Výskumníci zabezpečenia Secure Annex zistili, že tieto škodlivé rozšírenia využívajú sofistikované techniky na manipuláciu s počtom stiahnutí a umelo navyšujú inštalačné štatistiky, pričom falošné rozšírenia umiestňujú priamo vedľa legitímnych v rámci rozhrania IDE.
Táto taktika sociálneho inžinierstva sťažuje používateľom identifikáciu správneho rozšírenia počas inštalácie.
Mechanizmus a evolúcia infekcie
Proces infekcie začína, keď vývojári nainštalujú to, čo sa javí ako legitímne rozšírenie z trhu.
Škodlivý náklad sa aktivuje ihneď po načítaní rozšírenia do vývojového prostredia. Po aktivácii kód spustí vložené implantáty, ktoré boli predtým skryté v balíku rozšírenia.
Útočníci výrazne vyvinuli svoju únikovú taktiku a prešli z neviditeľných znakov Unicode v skorších iteráciách na implantáty založené na hrdze zabudované priamo do rozšírení.
Keď sa rozšírenie aktivuje, spustí škodlivý kód v kontexte systému vývojára, čím útočníkom poskytne prístup k citlivým informáciám, ako sú premenné prostredia, autentifikačné tokeny a zdrojový kód projektu.
Škodlivé rozšírenia (zdroj – zabezpečená príloha)
Sofistikované techniky zahmlievania sťažujú detekciu bez špecializovaných nástrojov na analýzu bezpečnosti. Analytici Secure Annex zaznamenali konzistentné podpisy a vzory útokov naprieč kampaňami, pričom napriek ich vývoju spájali rôzne techniky.
Výskumníci zistili, že mnohé rozšírenia pokračujú v prípravných operáciách a zároveň manipulujú so štatistikami sťahovania, aby si pred konečným nasadením vybudovali dôveryhodnosť.
Identifikované kompromitované balíky zahŕňajú oba trhy, s pozoruhodnými príkladmi vrátane prisma-inc.prisma-studio-assistance, prettier-vsc.vsce-prettier a flutter-extension na oboch platformách.
Organizácie používajúce tieto rozšírenia čelia značnému riziku neoprávneného prístupu do systému a úniku údajov.
Profesionáli v oblasti bezpečnosti odporúčajú okamžite vykonať audit nainštalovaných rozšírení a implementovať riešenia skenovania na trhu, aby sa zistili a zabránili budúcim kompromisom.
Sledujte nás na Google News, LinkedIn a X a získajte ďalšie okamžité aktualizácie, nastavte CSN ako preferovaný zdroj v Google.
