GlassWorm támadás
Koi Research ismerteti a GlassWorm ellátási lánc-támadást, amely fejlesztői bővítményeket fertőz meg az OpenVSX piactéren, és – legalább egy friss jelentés szerint – már Microsoft VSCode-boltban is találtak fertőzött csomagot. A támadás különlegessége két, egymást kiegészítő újdonság, a rosszindulatú kód láthatatlanná tétele Unicode-trükkökkel, illetve a C2 infrastruktúra decentralizált megvalósítása blokkláncon és legitim szolgáltatásokon keresztül, ami drasztikusan megnehezíti a blokkolást és a takarítást.
Technikailag a támadó rejtett, nem megjeleníthető Unicode karaktereket használ, így a forrásfájlok emberi szemmel és a hagyományos code-review eszközökkel tiszta kódot mutatnak, miközben a JavaScript-interpreter végrehajtja a rejtett payloadot. A további stádiumokra mutató utasításokat a Solana blokklánc tranzakcióinak memo-mezőjébe teszik, így az érintett kliens on-chain tranzakciókat olvasva dinamikusan találja meg a letöltési URL-eket, a támadó Google Calendar-eseményeket is használ tartalék C2-ként. A letöltött payloadok titkosítva érkeznek, a dekódoláshoz szükséges kulcsok pedig az HTTP-válaszfejlécekben érhetők el, így egyetlen elfogott bájlsor sem elegendő a visszafejtéshez.
A végső modul, a ZOMBI, széleskörű képességeket ad a támadóknak, kriptotárca-kisseprést célzó token- és hitelesítő-gyűjtést, SOCKS proxyszerver létrehozását, WebRTC alapú P2P csatornákat, BitTorrent DHT-t parancsdisztribúcióra, illetve rejtett VNC-s hozzáférést (HVNC) a teljes távoli munkamenet-eltérítéshez. Ennek eredményeként egy fertőzött fejlesztői munkaállomás könnyen válhat rejtett bűnözői proxy- és pivot-ponttá, ami belső hálózati hozzáférést és anonim támadóinfrastruktúrát biztosít a rosszindulatú üzemeltetőknek.
