Close Menu
Security

Το κακόβουλο λογισμικό Glassworm επιστρέφει στο τρίτο κύμα κακόβουλων πακέτων VS Code

Marizas DimitrisBy Δεν υπάρχουν Σχόλια3 Mins Read
Το κακόβουλο λογισμικό Glassworm επιστρέφει στο τρίτο κύμα κακόβουλων πακέτων VS Code
Το κακόβουλο λογισμικό Glassworm επιστρέφει στο τρίτο κύμα κακόβουλων πακέτων VS Code


Η καμπάνια , η οποία πρωτοεμφανίστηκε στις αγορές OpenVSX και Microsoft Visual Studio τον Οκτώβριο, βρίσκεται τώρα στο τρίτο της κύμα, με 24 νέα πακέτα που προστέθηκαν στις δύο πλατφόρμες.

Το OpenVSX και το Microsoft Visual Studio Marketplace είναι και τα δύο αποθετήρια επέκτασης για επεξεργαστές συμβατούς με VS Code, που χρησιμοποιούνται από προγραμματιστές για να εγκαταστήσουν υποστήριξη γλώσσας, πλαίσια, εργαλεία, θέματα και άλλα πρόσθετα παραγωγικότητας.

Η αγορά της Microsoft είναι η επίσημη πλατφόρμα για τον κώδικα του Visual Studio, ενώ το OpenVSX είναι μια ανοιχτή, ουδέτερη από τον προμηθευτή εναλλακτική λύση που χρησιμοποιείται από συντάκτες που δεν μπορούν ή δεν χρησιμοποιούν το αποκλειστικό κατάστημα της Microsoft.

Το Glassworm που τεκμηριώθηκε για πρώτη φορά από την Koi Security στις 20 Οκτωβρίου είναι ένα κακόβουλο λογισμικό που χρησιμοποιεί “αόρατους χαρακτήρες Unicode” για να κρύψει τον κώδικά του από έλεγχο.

Μόλις οι προγραμματιστές το εγκαταστήσουν στο περιβάλλον τους, επιχειρεί να κλέψει λογαριασμούς GitHub, npm και OpenVSX, καθώς και δεδομένα πορτοφολιού νομισμάτων από 49 επεκτάσεις.

Επιπλέον, το κακόβουλο λογισμικό αναπτύσσει έναν διακομιστή μεσολάβησης SOCKS για τη δρομολόγηση κακόβουλης κυκλοφορίας μέσω του υπολογιστή του θύματος και εγκαθιστά τον πελάτη HVNC για να παρέχει στους χειριστές μυστική απομακρυσμένη πρόσβαση.

Αν και η αρχική μόλυνση καθαρίστηκε από τα αποθετήρια επέκτασης, το κακόβουλο λογισμικό επέστρεψε και στους δύο ιστότοπους λίγο αργότερα με νέες επεκτάσεις και λογαριασμούς εκδότη.

Πριν από αυτό, το Open VSX είχε δηλώσει ότι το περιστατικό ήταν πλήρως περιορισμένο, με την πλατφόρμα να περιστρέφει τα διακριτικά παραβιασμένης πρόσβασης.

Η επανεμφάνιση του Glassworm ανακαλύφθηκε από Ο ερευνητής του Secure Annex, John Tucknerο οποίος αναφέρει ότι τα ονόματα των πακέτων υποδεικνύουν ένα ευρύ εύρος στόχευσης που καλύπτει δημοφιλή εργαλεία και πλαίσια προγραμματιστών όπως Flutter, Vim, Yaml, Tailwind, Svelte, React Native και Vue.

Πακέτα νόμιμων (αριστερά) και μιμητών (δεξιά).
Πακέτα νόμιμων (αριστερά) και μιμητών (δεξιά).
Πηγή: Ασφαλές Παράρτημα

Το Secure Annex διαπίστωσε τώρα ότι το τρίτο κύμα χρησιμοποιεί τα πακέτα που αναφέρονται παρακάτω.

VS Marketplace

  1. iconkieftwo.icon-theme-material

  2. prisma-inc.prisma-studio-assistance

  3. πιο όμορφος-vsc.vsce-πιο όμορφος

  4. flutcode.flutter-επέκταση

  5. csvmech.csvrainbow

  6. codevsce.codelddb-vscode

  7. saoudrizvsce.claude-devsce

  8. clangdcode.clangd-vsce

  9. cweijamysq.sync-settings-vscode

  10. bphpburnsus.iconesvscode

  11. klustfix.kluster-code-verify

  12. vims-vsce.vscode-vim

  13. yamlcode.yaml-vscode-extension

  14. solblanco.svetle-vsce

  15. vsceue.volar-vscode

  16. redmat.vscode-quarkus-pro

  17. msjsdreact.react-native-vsce

Ανοίξτε το VSX

  1. bphpburn.icons-vscode

  2. tailwind-nuxt.tailwindcss-for-react

  3. flutcode.flutter-επέκταση

  4. yamlcode.yaml-vscode-extension

  5. saoudrizvsce.claude-dev

  6. saoudrizvsce.claude-devsce

  7. vitalik.στερεότητα

Μόλις τα πακέτα γίνουν αποδεκτά στις αγορές, οι εκδότες προωθούν μια ενημέρωση που εισάγει τον κακόβουλο κώδικα και, στη συνέχεια, αυξάνουν τον αριθμό των λήψεών τους για να φαίνονται νόμιμες και αξιόπιστες.

Επίσης, η τεχνητή αύξηση του αριθμού λήψεων μπορεί να χειραγωγήσει τα αποτελέσματα αναζήτησης, με την κακόβουλη επέκταση να εμφανίζεται υψηλότερα στα αποτελέσματα, συχνά πολύ κοντά στα νόμιμα έργα που υποδύεται.

Μπερδεμένα αποτελέσματα αναζήτησης
Μπερδεμένα αποτελέσματα αναζήτησης
Πηγή: Ασφαλές Παράρτημα

Ο ερευνητής αναφέρει ότι το Glassworm έχει εξελιχθεί και από την τεχνική πλευρά, χρησιμοποιώντας τώρα εμφυτεύματα με βάση τη Rust συσκευασμένα μέσα στις επεκτάσεις. Το αόρατο κόλπο Unicode χρησιμοποιείται επίσης σε ορισμένες περιπτώσεις.

Φορτίο επί πληρωμή
Φορτίο επί πληρωμή
Πηγή: Ασφαλές Παράρτημα

Η BleepingComputer επικοινώνησε με το OpenVSX και τη Microsoft σχετικά με τη συνεχιζόμενη ικανότητα του Glassworm να παρακάμπτει τις άμυνές τους και θα ενημερώσουμε αυτήν την ανάρτηση με τις απαντήσεις τους μόλις λάβουμε.


δόντια

Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.

Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.



VIA: bleepingcomputer.com

Related Posts


Το κακόβουλο λογισμικό GlassWorm επιστρέφει στο OpenVSX με 3 νέες επεκτάσεις VSCode
Security
Το κακόβουλο λογισμικό GlassWorm που διαχέεται μόνος του επισκιάζει τα μητρώα OpenVSX, VS Code
Security
Το Open VSX εναλλάσσει τα διακριτικά πρόσβασης που χρησιμοποιούνται στην επίθεση κακόβουλου λογισμικού στην αλυσίδα εφοδιασμού
Security
Share.

Ο Δημήτρης είναι παθιασμένος με την τεχνολογία και τις καινοτομίες. Λατρεύει να εξερευνά νέες ιδέες, να επιλύει σύνθετα προβλήματα και να βρίσκει τρόπους ώστε η τεχνολογία να γίνεται πιο ανθρώπινη, απολαυστική και προσιτή για όλους. Στον ελεύθερο χρόνο του ασχολείται με το σκάκι και το poker, απολαμβάνοντας την στρατηγική και τη δημιουργική σκέψη που απαιτούν.

Related Posts

Add A Comment
Leave A Reply