GlassWorm upgrade supply chain attack! Spoofed plugins steal crypto assets, Solana becomes the C2 channel.

Gate News новини, безпекова агенція GoPlus випустила попередження, що GlassWorm еволюціонував з раннього VS Code черв’яка в надзвичайно складну структуру атак на постачальників, маскуючись під розширення Chrome для крадіжки чутливих даних користувачів та криптоактивів, загроза продовжує розширюватися.

Ядро цієї атаки полягає в залежності від отруєння та прихованого впровадження коду. Зловмисники використовують спеціальні символи Unicode та PUA для модифікації пакетів npm та PyPI, впроваджуючи шкідливі завантажувачі. Ці символи важко виявити в інструментах перевірки коду, що дозволяє шкідливому коду обходити традиційне статичне аналізування, забруднюючи розробницьке середовище з самого початку.

На рівні зв’язку GlassWorm використовує більш прихований спосіб контролю. Він відмовився від традиційних доменних серверів і натомість використовує блокчейн Solana як канал команд і контролю, приховуючи інструкції в примітках до транзакцій в ланцюгу. Такий дизайн надає атакуючій інфраструктурі більшу стійкість до блокування, ускладнюючи відстеження або переривання звичайними методами.

На стороні терміналу атака реалізується під виглядом розширення “Google Docs Offline”. Цей шкідливий плагін може красти куки браузера, вміст буфера обміну та історію браузера, а також має можливості запису клавіш та знімків екрана, і здатен моніторити активність апаратних гаманців, таких як Ledger, Trezor. Крім того, зловмисники можуть відображати фішингові інтерфейси, спонукаючи користувачів вводити мнемонічні фрази, що дозволяє їм безпосередньо контролювати цифрові активи.

GoPlus нагадує користувачам, що слід впроваджувати інструменти для виявлення прихованих символів і уникати встановлення програмного забезпечення або плагінів з невідомих джерел. Також необхідно бути обережним із підозрілими підписами транзакцій та запитами на перекази. Якщо виникає підозра, що пристрій був зламаний, слід негайно відключити мережеве з’єднання та змінити всі відповідні облікові дані, щоб зменшити потенційні втрати.