- 26,390
- 46
- 8 Ноя 2022
Один неверный клик может стоить разработчикам целой инфраструктуры.
Кампания GlassWorm снова всплыла в среде разработчиков, но теперь злоумышленники действуют тише. Вместо очевидно вредоносных расширений для OpenVSX они сначала публикуют безобидные копии популярных инструментов, а вредоносные функции добавляют позже через обновления.
Компания Socket сообщила о 73 подозрительных расширениях, связанных с новой волной GlassWorm. Шесть из них уже активировались и начали загружать вредоносный код. Остальные, по оценке специалистов, пока спят или выглядят достаточно подозрительно, чтобы считать их частью той же схемы.
Расширения маскируются под легитимные проекты. Авторы копируют значки, похожие названия и описания, поэтому невнимательный разработчик легко может принять подделку за настоящий инструмент. Отличия обычно скрываются в имени издателя и уникальном идентификаторе расширения.
Новая тактика отличается от прежних атак GlassWorm. Ранее вредоносный код прятали прямо внутри расширений, в том числе с помощью невидимых Unicode-символов . Теперь расширения чаще работают как загрузчики. Они могут получать дополнительный VSIX-пакет с GitHub, запускать платформозависимые модули .node или использовать сильно запутанный JavaScript , который раскрывает вредоносную логику только во время работы.
Технические детали свежей полезной нагрузки Socket не раскрыла. В прошлых волнах GlassWorm злоумышленники охотились за данными криптовалютных кошельков, учётными данными, токенами доступа, SSH-ключами и содержимым рабочих сред разработчиков. Кампания уже затрагивала GitHub, npm, Visual Studio Code Marketplace, OpenVSX и пользователей macOS через поддельные клиенты для криптокошельков.
Socket опубликовала список всех 73 расширений. Разработчикам, которые устанавливали такие пакеты, рекомендуют очистить рабочую среду и заменить все секреты, включая токены, ключи и пароли.
Кампания GlassWorm снова всплыла в среде разработчиков, но теперь злоумышленники действуют тише. Вместо очевидно вредоносных расширений для OpenVSX они сначала публикуют безобидные копии популярных инструментов, а вредоносные функции добавляют позже через обновления.
Компания Socket сообщила о 73 подозрительных расширениях, связанных с новой волной GlassWorm. Шесть из них уже активировались и начали загружать вредоносный код. Остальные, по оценке специалистов, пока спят или выглядят достаточно подозрительно, чтобы считать их частью той же схемы.
Расширения маскируются под легитимные проекты. Авторы копируют значки, похожие названия и описания, поэтому невнимательный разработчик легко может принять подделку за настоящий инструмент. Отличия обычно скрываются в имени издателя и уникальном идентификаторе расширения.
Новая тактика отличается от прежних атак GlassWorm. Ранее вредоносный код прятали прямо внутри расширений, в том числе с помощью невидимых Unicode-символов . Теперь расширения чаще работают как загрузчики. Они могут получать дополнительный VSIX-пакет с GitHub, запускать платформозависимые модули .node или использовать сильно запутанный JavaScript , который раскрывает вредоносную логику только во время работы.
Технические детали свежей полезной нагрузки Socket не раскрыла. В прошлых волнах GlassWorm злоумышленники охотились за данными криптовалютных кошельков, учётными данными, токенами доступа, SSH-ключами и содержимым рабочих сред разработчиков. Кампания уже затрагивала GitHub, npm, Visual Studio Code Marketplace, OpenVSX и пользователей macOS через поддельные клиенты для криптокошельков.
Socket опубликовала список всех 73 расширений. Разработчикам, которые устанавливали такие пакеты, рекомендуют очистить рабочую среду и заменить все секреты, включая токены, ключи и пароли.
- Источник новости
- www.securitylab.ru
