Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Малициозниот софтвер GlassWorm се враќа и ги разорува развојните екосистеми

Објавено: 04.02.2026

Самореплицирачкиот малициозен софтвер отру нов сет на Open VSX софтверски компоненти, оставајќи потенцијални жртви низ синџирот со инфостилер инфекции. Нов бран хаос во синџирот на снабдување од заканата GlassWorm повторно се појави во светот на развојот на софтвер, труејќи компоненти што имаат илјадници корисници „надолу по синџирот“.

Истражувачи од компанијата Socket, специјализирана за безбедност во развој на апликации, минатата недела детално опишаа напад врз синџирот на снабдување кој вклучува тројанизирани верзии на четири легитимни компоненти дистрибуирани преку регистарот Open VSX.

Socket го пријави нападот до Open VSX и Eclipse Foundation на 30 јануари, по што малициозните верзии на сите компоненти беа брзо отстранети. Тешко е да се каже колку жртви сепак биле погодени и покрај брзата реакција на сите вклучени страни. Но, во блогот на Socket се наведува дека FTP/SFTP/SSH Sync Tool, I18n Tools, vscode mindmap и scss to css „заедно имале над 22.000 преземања од Open VSX пред малициозните изданија“.

Во врска со веројатното потекло на заканата, „безбедносниот тим на Open VSX ја оцени активноста како конзистентна со протечен токен или друг неовластен пристап“, напиша Кирил Бојченко од Socket.

Крајната цел, како што често е случај со нападите врз синџирот на снабдување во развојот на апликации, била инфицирање на корисниците надолу по синџирот со инфостилери. Овој пристап станува тренд: некои од најзастрашувачките верзии на вакви напади се случија минатата година со самореплицирачкиот црв Shai-hulud. И серија напади врз синџирот на снабдување со софтверски компоненти минатото лето го натера GitHub да се обврзе на побезбеден NPM екосистем.

Малициозниот софтвер GlassWorm првпат беше откриен од Koi Security во есента 2025 година. Компанијата ја забележа неговата самопропагирачка природа (слична на Shai-hulud) и утврди дека инфицирал десетици илјади машини на програмери.

Сценариото било следно: програмер ќе преземе отруена компонента, малициозниот софтвер ќе украде акредитиви, а потоа напаѓачот ќе го злоупотреби пристапот за објавување за да постави нови отруени верзии, ширејќи ја инфекцијата понатаму. GlassWorm бил и исклучително прикриен — претходно користел невидливи Unicode знаци, но во поновите верзии овој трик е заменет со енкриптирани, фазни loader-и.

Откако ќе навлезе во системот, GlassWorm крадел акредитиви за NPM, GitHub и Git, како и криптовалутни паричници. Го користел Solana блокчејнот за командно-контролна (C2) комуникација, а Google Calendar како резервен команден канал. Нападите продолжиле и долго по првиот бран, иако Eclipse Foundation во тој период соопшти дека ситуацијата е ставена под контрола.

Најновиот GlassWorm напад што го опиша Socket има слична структура. Блокчејн-базираната инфраструктура и понатаму е активна, како и фокусот на Open VSX компонентите. Врз основа на payload-ите што ги собрале истражувачите од Socket, малициозниот софтвер собира macOS податоци, вклучувајќи податоци од wallet-екстензии како MetaMask, повеќе семејства веб-прелистувачи, десктоп криптовалутни паричници, keychain бази на податоци, Apple Notes бази, Safari cookies, VPN конфигурации, програмерски акредитиви и многу повеќе. Бојченко напиша дека овој инцидент се разликува и од претходните активности на GlassWorm.

„Претходните бранови во голема мера се потпираа на typosquatting и brandjacking — клонирање или имитирање популарни алатки за програмери и обид да изгледаат доверливо преку вештачко зголемување на бројот на преземања“, се наведува во блог-објавата. „Спротивно на тоа, овие четири екстензии беа објавени под веќе воспоставена издавачка сметка со историја на повеќе екстензии и реални сигнали за прифаќање низ екосистемите.“

Блогот на Socket вклучува и индикатори за компромитација (IOC) за одбранбени тимови.

Како да се неутрализира GlassWorm

Организациите што презеле компромитирана екстензија треба веднаш да ги ротираат акредитивите, особено оние поврзани со програмерски или cloud сметки. Исто така, треба да се изврши ревизија на неодамнешната GitHub активност и да се проверат CI конфигурациите и release задачите за можни манипулации.

„Ако сте инсталирале некоја екстензија наведена во делот со IOC, третирајте го тоа како настан на компромитација на акредитиви. Отстранете ја екстензијата и избришете ги нејзините артефакти од дискот“, напиша Бојченко. „На macOS, проверете за перзистентност под ~/Library/LaunchAgents, вклучувајќи непознати plist датотеки како com.user.nodestart.plist, и истражете сомнителни runtime патеки што упатуваат на /tmp/ijewf или /tmp/out.zip.“

За организациите, ризикот од вакви напади е очигледен, особено ако се земе предвид дека многу софтверски решенија користат десетици open-source компоненти (најмалку). GlassWorm може да компромитира програмерски сметки, да украде средства и тајни од криптовалутни паричници, па дури и да пробие cloud инстанци преку AWS акредитиви што може да се наоѓаат на машината на жртвата.

Извори:

  • DarkReading – GlassWorm Malware Returns to Shatter Developer Ecosystems DarkReading