Glassworm kampány
A StepSecurity jelentése szerint a Glassworm kampány egy fejlett szoftver-ellátási lánc támadás, amelyben a támadók ellopott GitHub tokeneket és fejlesztői hitelesítési adatokat használnak valós projektek kompromittálására. A hozzáférés birtokában közvetlenül módosítják a repositorykat, majd rosszindulatú kódot injektálnak látszólag verziófrissítés formájában.
A kampány egyik kulcseleme a malware láthatatlan Unicode karakterekbe ágyazva kerül a forráskódba, így a kód review során gyakorlatilag észrevehetetlen marad. A futtatáskor egy dekóder aktiválja a rejtett payloadot, amely további kódot tölt le és hajt végre.
A fertőzés nem áll meg egy projektnél. A kompromittált kód npm csomagokban, VS Code bővítményekben és más fejlesztői eszközökben is megjelenik, így a támadás láncreakciószerűen terjed a fejlesztői ökoszisztémában. Egyes kampányok során több mint 150 GitHub repository és több tucat fejlesztői plugin érintett volt.
A végső cél hitelesítési adatok, API-kulcsok, kriptotárca-adatok és egyéb fejlesztői titkok ellopása, valamint fertőzött rendszerek proxyként vagy további támadások kiindulópontjaként való használata. A kampány különösen veszélyes, mert a támadók megbízható open-source csomagokon keresztül jutnak be, így a fertőzés gyakran legitim fejlesztési folyamat részeként történik.
