Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нападот со Open VSX Supply Chain користел компромитирана сметка на развивач за ширење на GlassWorm

Објавено: 02.02.2026

Истражувачи за сајбер-безбедност објавија детали за напад на синџирот на снабдување насочен кон Open VSX Registry, при што непознати заканувачи компромитирале ресурси на легитимен девелопер за да испорачаат злонамерни ажурирања до крајните корисници.

„На 30 јануари 2026 година, четири веќе воспоставени Open VSX екстензии, објавени од авторот oorzc, добија злонамерни верзии објавени на Open VSX кои го вградуваат GlassWorm малициозниот loader“, изјави истражувачот за безбедност од Socket, Кирил Бојченко, во извештај објавен во сабота.

„Овие екстензии претходно биле претставени како легитимни алатки за девелопери (некои првично објавени пред повеќе од две години) и заедно имале над 22.000 преземања од Open VSX пред да бидат објавени злонамерните изданија.“

Компанијата за безбедност на синџирот на снабдување соопшти дека нападот вклучувал компромитирање на акредитивите за објавување на девелоперот, при што безбедносниот тим на Open VSX проценил дека инцидентот најверојатно вклучувал употреба на протечен токен или друг неовластен пристап. Злонамерните верзии во меѓувреме се отстранети од Open VSX.

Списокот на идентификувани екстензии е следниот:

  • FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — верзија 0.5.1)
  • I18n Tools (oorzc.i18n-tools-plus — верзија 1.6.8)
  • vscode mindmap (oorzc.mind-map — верзија 1.0.61)
  • scss to css (oorzc.scss-to-css-compile — верзија 1.3.4)

Како што забележува Socket, „отруените“ верзии се дизајнирани да испорачаат loader-малициозен софтвер поврзан со позната кампања наречена GlassWorm. Loader-от има можност да дешифрира и извршува вграден код за време на извршувањето, користи сè повеќе милитаризирана техника наречена EtherHiding за преземање командно-контролни (C2) крајни точки и на крај извршува код наменет за кражба на акредитиви на Apple macOS и податоци од криптовалутни паричници.

Во исто време, малициозниот софтвер се активира (детонира) дури откако компромитираниот систем ќе биде профилиран и ќе се утврди дека не припаѓа на руска локализација, образец што често се забележува кај малициозни програми кои потекнуваат од или се поврзани со заканувачи што зборуваат руски јазик, со цел да се избегне домашно гонење.

Типовите информации што ги собира малициозниот софтвер вклучуваат:

  • Податоци од прелистувачите Mozilla Firefox и Chromium-базирани прелистувачи (најави, колачиња, историја на прелистување и екстензии за паричници како MetaMask)
  • Датотеки од криптовалутни паричници (Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance и TonKeeper)
  • База на податоци на iCloud Keychain
  • Safari колачиња
  • Податоци од Apple Notes
  • Кориснички документи од папките Desktop, Documents и Downloads
  • Конфигурациски датотеки од FortiClient VPN
  • Девелоперски акредитиви (на пр. ~/.aws и ~/.ssh)

Насочувањето кон девелоперски информации претставува сериозен ризик, бидејќи ги изложува корпоративните средини на можни компромитации на cloud сметки и напади со латерално движење низ мрежата.

„Payload-от содржи рутини за пронаоѓање и извлекување автентикациски материјали што се користат во вообичаени работни текови, вклучително и проверка на npm конфигурации за _authToken и референцирање на GitHub автентикациски артефакти, кои можат да обезбедат пристап до приватни репозиториуми, CI тајни и автоматизација на изданија“, изјави Бојченко.

Значаен аспект на нападот е тоа што се разликува од претходно забележаните индикатори на GlassWorm по тоа што користи компромитирана сметка на легитимен девелопер за дистрибуција на малициозниот софтвер. Во претходните случаи, заканувачите зад кампањата користеле typosquatting и brandjacking за да прикачуваат лажни екстензии и да ги шират понатаму.

„Заканувачот се вклопува во нормалните девелоперски работни текови, го крие извршувањето зад енкриптирани loader-и што се дешифрираат за време на извршувањето и користи Solana memos како динамичен dead drop за ротирање на инфраструктурата за стагинг без повторно објавување на екстензиите“, соопшти Socket. „Овие дизајнерски избори ја намалуваат вредноста на статичките индикатори и ја префрлаат предноста кај бранителите кон бихевиорална детекција и брза реакција.“

Извори:

  • The Hacker News – Open VSX Supply Chain Attack Used Compromised Dev Account to Spread GlassWorm The Hacker News