Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

GlassWorm малициозен софтвер користи Solana „dead drop“ техники за испорака на RAT и кражба на податоци од прелистувачи и крипто-паричници

Објавено: 26.03.2026

Истражувачите за сајбер-безбедност открија нова еволуција на кампањата GlassWorm, која испорачува повеќестепена рамка способна за сеопфатна кражба на податоци и инсталирање на „remote access trojan“ (RAT), кој дополнително инсталира злонамерна екстензија за Google Chrome што се претставува како офлајн верзија на Google Docs.

„Таа ги бележи притиснатите тастери, извлекува колачиња (cookies) и сесиски токени, прави слики од екранот и прима команди од C2 сервер скриен во memo поле на Solana blockchain,“ изјави истражувачот за безбедност од Aikido, Иљас Макари, во извештај објавен минатата недела.

GlassWorm е име дадено на постојана кампања која добива почетен пристап преку злонамерни пакети објавени на npm, PyPI, GitHub и Open VSX маркетот. Дополнително, операторите често компромитираат профили на одржувачи на проекти за да објавуваат заразени ажурирања.

Нападите се доволно внимателни да избегнат инфицирање на системи со руски локалитет и користат Solana трансакции како „dead drop resolver“ за да го преземат C2 серверот („45.32.150[.]251“) и да симнат payload-и специфични за оперативниот систем.

Втората фаза од нападот е рамка за кражба на податоци која вклучува прибирање креденцијали, ексфилтрација на крипто-паричници и профилирање на системот. Собраните податоци се компресираат во ZIP архива и се испраќаат на надворешен сервер („217.69.3[.]152/wall“). Исто така содржи функционалност за преземање и извршување на финалниот payload.

Откако податоците ќе се испратат, нападот продолжува со преземање на уште две компоненти: .NET бинарен фајл дизајниран за фишинг на хардверски паричници и JavaScript RAT базиран на WebSocket за кражба на податоци од прелистувачи и извршување произволен код. RAT-от се презема од „45.32.150[.]251“ користејќи јавен Google Calendar event URL како „dead drop“.

.NET компонентата користи Windows Management Instrumentation (WMI) за да детектира USB уреди и прикажува фишинг прозорец кога ќе се приклучи Ledger или Trezor хардверски паричник.

„Ledger интерфејсот прикажува лажна грешка за конфигурација и бара внес на 24 зборови за recovery phrase,“ вели Макари. „Trezor прикажува лажна порака ‘Firmware validation failed’ со ист распоред. Двата прозорци имаат копче ‘RESTORE WALLET’.“

Малициозниот софтвер не само што ги гаси сите вистински Ledger Live процеси на Windows, туку повторно го прикажува фишинг прозорецот ако жртвата го затвори. Целта е да се украде recovery фразата и да се испрати на IP адресата „45.150.34[.]158“.

RAT-от користи Distributed Hash Table (DHT) за да ги добие C2 податоците, а ако тоа не успее, се префрла на Solana „dead drop“. Потоа воспоставува комуникација со серверот за извршување различни команди:

  • start_hvnc / stop_hvnc – стартување на скриен далечински десктоп (HVNC)
  • start_socks / stop_socks – активирање WebRTC модул како SOCKS proxy
  • reget_log – кражба на податоци од прелистувачи (Chrome, Edge, Brave, Opera, Firefox и др.)
  • get_system_info – испраќање системски информации
  • command – извршување JavaScript код

RAT-от исто така принудно инсталира екстензија „Google Docs Offline“ на Windows и macOS, која собира cookies, localStorage, DOM податоци, bookmarks, screenshots, тастатурни внесови, clipboard содржина, до 5.000 записи од историја и листа на инсталирани екстензии.

Екстензијата врши и таргетирано следење на сесии – на пример, има претходно конфигуриран таргет Bybit, каде следи специфични cookies и при детекција испраќа webhook со податоци кон C2 серверот. Напаѓачите можат и да пренасочуваат активни табови кон злонамерни URL адреси.

Истражувањето открива и нова тактика: објавување npm пакети што се претставуваат како WaterCrawl MCP сервер за ширење на малициозен код. Ова е прв потврден чекор на GlassWorm во MCP екосистемот.

Експертите предупредуваат програмерите да бидат внимателни при инсталирање Open VSX екстензии, npm пакети и MCP сервери, да ги проверуваат издавачите и историјата и да не им веруваат слепо на бројот на преземања.

Полската компанија AFINE објави open-source алатка „glassworm-hunter“ (Python) за скенирање на системи. Таа не прави мрежни барања при скенирање – чита само локални фајлови, а единствено ажурирањето презема IoC база од GitHub.

Извори:

  • The Hacker News – GlassWorm Malware Uses Solana Dead Drops to Deliver RAT and Steal Browser, Crypto Data The Hacker News