导语:攻击者已重返OpenVSX平台,沿用原有基础设施,但更新了命令与控制服务器端点及Solana交易信息。
上月曾入侵OpenVSX与Visual Studio Code应用市场的GlassWorm恶意软件攻击活动再度回归,此次新增三款携带恶意载荷的VSCode扩展,累计下载量已超1万次。
GlassWorm是一套恶意软件攻击体系,通过Solana区块链交易获取恶意载荷,攻击目标包括GitHub、NPM、OpenVSX平台的账号凭证,以及49款扩展程序中的加密货币钱包数据。
该恶意软件利用不可见的Unicode字符(显示为空白但可作为JavaScript执行)实施恶意操作。
其首次现身时,通过微软VS Code与OpenVSX应用市场的12款扩展传播,下载量达3.58万次。不过有观点认为,攻击者人为刷高了下载数据,因此该攻击活动的实际影响范围尚无法确定。
针对此次安全事件,OpenVSX已为受GlassWorm入侵的部分账号(具体数量未披露)轮换访问令牌,实施安全强化措施,并将该事件标记为已解决。
GlassWorm再度来袭
持续追踪该攻击活动的Koi Security表示,攻击者已重返OpenVSX平台,沿用原有基础设施,但更新了命令与控制(C2)服务器端点及Solana交易信息。
隐藏的有效负载
三款携带GlassWorm恶意载荷的OpenVSX扩展如下:
- ai-driven-dev.ai-driven-dev — 3400次下载
- adhamu.history-in-sublime-merge — 4000次下载
- yasuyuky.transient-emacs — 2400次下载
Koi Security指出,这三款扩展均采用与初代恶意文件相同的不可见Unicode字符混淆技术,且该技术仍能成功绕过OpenVSX新增的防御机制。
正如Aikido此前报告所述,GlassWorm操作者并未因上月的曝光而退缩,已转向GitHub平台活动。此次通过新扩展重返OpenVSX,表明其有意在多平台恢复攻击运营。
攻击基础设施遭曝光
借助匿名线索,Koi Security成功接入攻击者服务器,获取了该攻击活动受害者的关键数据。检索到的数据显示,GlassWorm的影响范围遍及全球,受害者系统分布于美国、南美洲、欧洲、亚洲,其中还包括中东地区的一个政府机构。
关于攻击者身份,Koi Security透露其为俄语使用者,采用RedExt开源浏览器扩展C2框架开展攻击。
来自暴露端点
研究人员已将所有获取的数据(包括多个加密货币交易所及即时通讯平台的用户ID)提交给执法部门,并正协调推进受影响机构的通知工作。
Koi Security透露,目前已确认60名独立受害者,同时指出此次仅从一个暴露的端点获取了部分受害者名单。目前,这三款携带GlassWorm恶意载荷的扩展仍可在OpenVSX平台下载。
文章翻译自:https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-on-openvsx-with-3-new-vscode-extensions/如若转载,请注明原文地址
