Ein neuer Sicherheitsalarm zeigt, wie zerbrechlich die Code-Vertriebskette sein kann: bösartige Akteure schafften es, legitime Updates im Open VSX-Datensatz zu manipulieren, um ein Malware-Ladegerät namens GlassWorm zu verbreiten. Die von der Firma Socket veröffentlichte Forschung beschreibt, wie Erweiterungen von einem legitimen Entwickler mit kontaminierten Versionen aktualisiert wurden, die vor ihrer Beseitigung Zehntausende von Downloads angesammelt hatten.
Open VSX ist eine offene Plattform für die Veröffentlichung von Erweiterungen, die mit Visual Studio Code-Editoren kompatibel sind, und ihr Ökosystem erleichtert die tägliche Produktivität und die Tools für Programmierer auf der ganzen Welt. Gerade das Vertrauen und die Reichweite machen diese Art von Repository attraktive Ziele für Angreifer, die die Auswirkungen ihres schädlichen Codes maximieren möchten. Die technische Erklärung und die forensische Analyse des Vorfalls finden Sie in dem von Socket veröffentlichten Bericht. Hier., und das betreffende Repository nahm auch öffentliche Diskussion in GitHub über die Intrusion auf in diesem Fall.
Laut der verfügbaren Analyse war der Angriffsmechanismus nicht die Erstellung von falschen Paketen mit ähnlichen Namen oder ein Typosquating Betrug bei dieser Gelegenheit: die Angreifer hätten Zugriff auf die Veröffentlichung Anmeldeinformationen eines echten Entwicklers erhalten und dieses Konto verwendet, um bösartige Versionen von bereits beliebten Erweiterungen hochzuladen. Aus diesem Grund passierten die Proben zunächst relativ unbemerkt, bis das schädliche Verhalten erkannt wurde und die kompromittierten Versionen aus dem Datensatz entfernt wurden.
Die in den Updates gelieferte Software fungiert als Ladegerät: d.h. als Komponente, die dazu ausgelegt ist, zusätzlichen Code in Laufzeit zu entschlüsseln und auszuführen. Socket verbindet diese Lasten mit der GlassWorm-Familie, die zunehmend anspruchsvolle Techniken verwendet, um ihre Kommunikations- und Befehls- und Steuerserver zu verbergen. Diese Techniken umfassen, was Forscher als "EtherHelling" beschreiben und die Verwendung von Memos im Solana-Netzwerk als dynamischer Mechanismus, um alternative Kontaktpunkte zu veröffentlichen, ohne dass die bösartige Erweiterung neu verteilt werden muss.
Das Verhalten von Malware zeigt eine Erkennungsphase, bevor es aktiviert wird: Der Code beurteilt die Umgebung der Opfermaschine und verhindert Detonation, wenn es eine lokale Konfiguration von Russland oder verwandten Gebieten erkennt, eine gemeinsame Praxis zwischen Kampagnen, die russischen sprechenden Akteuren zugeordnet werden, um die Möglichkeit der rechtlichen Handlung gegen ihre eigenen zu reduzieren. Wenn die Ausführung weitergeht, ist das Hauptziel des Schauspielers, Anmeldeinformationen und sensible Daten zu sammeln.
Die Informationen, die GlassWorm sucht, reichen von Browser-Anmeldeinformationen und Cookies - sowohl Firefox und Chrom-basierte Browser, einschließlich Web3 und MetaMask Billboards Erweiterungen - zu Kryptomoneda Billboards Dateien (z.B. Electrum, Exodus, und Hardware / Software-Lösungen wie Ledger Live und Trezor Suite). Darüber hinaus versucht der Versender nach der Forschung, Daten aus dem iCloud-Schlüssel, Safari-Cookies, lokale Notizen und Dokumente, VPN-Client-Einstellungen (beide als FortiClient) und entwicklerbenutzte Artefakte, wie npm-Einstellungen mit Authentifizierungs-Token oder GitHub-Anmeldeinformationen zu extrahieren, die Zugriff auf private Repositories und CI / CD-Geheime ermöglichen könnten.
Die Steuerung des Zugangs zu Entwicklungswerkzeugen und Anmeldeinformationen auf einem Entwicklergerät ist besonders gefährlich, weil es Seitenbewegungen und Cloud-Account-Verpflichtungen erleichtert: Mit einem Token oder privaten Schlüssel können Sie Bereitstellungen, Zugriffsinfrastruktur oder Automatisierungen aktivieren, die eine ganze Organisation betreffen. Die Experten betonen daher, dass die Bedrohung nicht nur eine individuelle, sondern eine geschäftliche Bedrohung ist.
Ein weiterer relevanter Aspekt des Vorfalls ist, wie der Angreifer versucht, mit den normalen Workflows des Entwicklers zu verwechseln. Anstelle von nur statischen Indikatoren - konkrete Hashes oder URLs, die sich häufig ändern - verwendet der Malware-Operator verschlüsselte Lasten, die im Speicher decodiert werden, und eine Kontrollinfrastruktur, die durch öffentliche Signale in Lockchain gebrochen wird, was es schwierig macht, traditionelle Signaturen basierend zu erkennen und die Notwendigkeit der Erkennung durch Verhalten und agile Antwort erhöht. Socket erklärt diese Taktik und die Schwierigkeit, die sie in seinem Bericht für Verteidiger einbeziehen. Hier..
Für Benutzer und Administratoren wird das Minderungsrezept auf mehreren Fronten gemessen: Überprüfung und Widerruf von festgelegten Anmeldeinformationen, die Rotation von Token und Schlüsseln, die Multi-Faktor-Authentifizierung für die Veröffentlichung von Konten und Repositories und Audit CI / CD-Umgebungen durch verdächtige Geräte. Es ist auch wichtig, atypische Verhaltensweisen in Endpunkten zu überwachen, wie Prozesse, die Blobs in Speicher oder Verbindungen zu ungewöhnlichen Domänen / Systemen entschlüsseln und ausführen. Institutionelle Ressourcen für die Sicherheit der Lieferkette und die guten Praktiken sind auf offiziellen Seiten wie CISA zur Sicherheit der Lieferkette verfügbar. Hier. und Dokumentation zur Verwaltung von Geheimnissen und Sicherheit auf Entwicklungsplattformen ist nützlich, um Risiken zu reduzieren.
Für Entwickler, die Erweiterungen veröffentlichen, ist die Lektion doppelt: den Verlagsprozess mit robusten Steuerungen zu schützen und davon auszugehen, dass jedes Artefakt, das den Endbenutzer erreicht, schnell geprüft und rückgängig gemacht werden kann. Behalten Sie geprüfte Kopien von Paketen, Protokollen und Limit-Publikationstoken, überprüfen Sie Zugriffsprotokolle und verwenden automatische Einheits-Scannen sind Praktiken, die das Belichtungsfenster reduzieren. GitHub und andere Lieferanten bieten Sicherheitsführer für diese Szenarien; es ist ratsam, sie in Workflows zu überprüfen und anzuwenden.
Letztendlich erinnert dieser Vorfall daran, dass die Software-Sicherheit nicht in dem Code beginnt oder endet, den wir schreiben: Vertrauen in Werkzeuge und Distributionsketten ist kritisch und muss mit der gleichen Schwere wie den Infrastrukturschutz verwaltet werden. Für diejenigen, die die technischen Details und Beweise des Falles vertiefen möchten, bieten die Analyse von Socket und die Diskussion über das betreffende Projektarchiv einen zuverlässigen Ausgangspunkt: Socketbericht, Gewinde in GitHub und die Registrierungsseite VSX öffnen den Aktionen der Gemeinschaft folgen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...