开发者将不得不应对在 Visual Studio Code (VS Code) 扩展中从休眠状态激活的恶意代码,这被认为已经通过窃取 GitHub、Open VSX 和加密货币钱包的凭证,影响了数千名用户。
GlassWorm 操作首次由网络安全公司 Koi Security 在上个月底发现,是由一组黑客创建,针对通过 Open VSX 注册表和微软 Visual Studio 市场分发的 VS Code 扩展。这些恶意行为者据报道在看似合法的开发者工具中嵌入了隐形的 恶意代码。
Koi 的安全研究人员表示,这一活动主要是为了收集开发者凭证,如 NPM 令牌、GitHub 登录和 Git 凭证,以便进行供应链攻击和财务盗窃。
根据 Koi 的分析,同样的恶意软件还针对了 49 个不同的加密货币钱包扩展,盗取用户资金并将敏感数据外泄到远程服务器。
GlassWorm 将开发者机器变成犯罪分子的帮手
正如 Koi 团队的博客文章在多个子版块中所述,这些恶意扩展部署 SOCKS 代理服务器,并利用被攻陷的开发者系统建立犯罪代理网络。同时,它们还安装隐藏的 VNC 服务器,让攻击者在没有明显迹象的情况下完全远程访问受害者的机器。
被盗的 GitHub 和 NPM 凭证帮助攻击者感染更多的代码库和软件包,并使 GlassWorm 能够更深入地渗透到软件供应链中。
Open VSX 确认已于 10 月 21 日识别并删除了与该活动相关的所有已知恶意扩展,同时撤销并更换了被盗的令牌。
然而,Koi Security 的新报告显示,GlassWorm 已经卷土重来,采用更先进的基于 Unicode 的混淆技术来绕过检测系统。
根据该公司的说法,七个扩展在 10 月 17 日再次遭到攻击,累计下载量已达到 35,800 次。Koi 的遥测数据显示,目前有十个感染的扩展仍在活跃并公开可用,并在本文撰写时仍在分发恶意软件。
“攻击者的指挥控制基础设施仍然完全可用。有效载荷服务器仍在响应,被盗的凭证正在被用来攻击新的软件包。”
CodeJoy恶意软件无敌,Koi安全公司揭穿
Koi的风险分析引擎在版本1.8.3表现出“异常行为变化”后,标记了名为CodeJoy的Open VSX扩展。CodeJoy看起来像一个合法的开发者生产力工具,拥有数百次下载、干净的代码库和定期更新。
“当我们打开源代码时,我们注意到第二行和第七行之间有一个很大的空白,”Koi研究人员说。“那不是空白空间,而是编码为不可打印Unicode字符的恶意代码,在你的代码编辑器中无法显示。”
攻击者使用了无敌的Unicode变体选择器,使恶意有效载荷对人眼不可见。静态分析工具和手动代码审查没有发现任何异常,但JavaScript解释器完美执行了隐藏的命令。
解码后,这些隐形字符揭示了一个第二阶段的载荷机制,Koi 研究人员发现它使用 Solana 区块链作为其指挥与控制 (C2) 基础设施。
“攻击者用一个公共区块链,它是不可篡改、去中心化且抗审查,作为他们的 C2 通道,”Koi 解释道。
这个恶意软件会扫描 Solana 网络,寻找来自硬编码钱包地址的交易。找到后,它读取备注字段,可以在其中附加任意文本。在该备注字段中包含一个 JSON 对象,里面有一个 base64 编码的链接,用于下载下一阶段的有效载荷。
在 Koi 的分析中,10 月 15 日的一笔 Solana 交易显示,包含的数据被解码为一个 URL,用于下载恶意软件下一阶段的链接。
攻击者可以通过发布新的Solana交易,只需几分之一美分,来更换有效载荷,更新所有查询区块链以获取新指令的感染扩展程序。
根据Koi的说法,即使防御者阻止了一个有效载荷URL,攻击者也可以比关闭一个URL的时间还要快地发出另一个交易。
“这就像和无数鼹鼠玩打鼹鼠游戏,”一位Koi研究员指出。
Koi Security的成员Idan Dardikman、Yuval Ronen和Lotan Sery确认,攻击者最近在本周发布了包含新命令端点的Solana新交易。
热门跟贴