Sicherheitsforscher haben eine neue und aufwendigere Kampagne Iteration namens GlassWorm entdeckt, die schädliche Supply-Chain-Techniken mit einem mehrstufigen Angriff kombiniert, um Anmeldeinformationen zu stehlen, leere Kryptomoneda-Wandets und anhaltenden Remote-Zugriff zu engagierten Teams. Bei dieser Gelegenheit haben Angreifer einen Schritt weiter gegangen: Neben der Verteilung von Malware durch kontaminierte Pakete in Entwickler-Repositories, sie enden auf die Installation einer Google Chrome-Erweiterung, die durch die Offline-Version von Google Docs geht und tatsächlich entfiltert sensible Daten.
Der erste Punkt des Eintrags bleibt das Open Source-Ökosystem: schädliche Pakete, die in npm, PyPI, GitHub und dem offenen Markt VSX veröffentlicht wurden, sowie kompromittierte Updates in legitimen Projekten, deren Wartungskonto verworfen wurde. Von dort aus lädt die Kampagne spezifische Komponenten nach dem Betriebssystem des Opfers herunter, indem sie versteckte Quellen, die als "tote Tropfen" fungieren, berücksichtigt. Aikido-Forscher beschreiben, wie Betreiber Transaktionen in Solanas Lockchain verwenden, um die Befehls- und Steuerserveradresse (C2) zu verbergen, eine Methode, die die Erkennung und Zuschreibung erschwert (siehe Solana-Dokumentation) und wurde bereits in dem von Aikido veröffentlichten technischen Bericht dokumentiert Hier..
Die Angriffskette wird in mehreren Phasen abgebaut. Die zweite Stufe installiert einen Rahmen der Informationsdiebstahl: Es sucht Anmeldeinformationen, versucht Kryptomoneda Geldbörsen zu extrahieren und sammelt Systemprofile. Alle gesammelten Informationen werden verpackt und an einen Remoteserver gesendet. Von diesem Moment an kann der Eindringling zwei weitere Module herunterladen: eine .NET-Binärdatei, die darauf abzielt, Hardware-Wandets-Sicherheit zu vermeiden, und eine JavaScript-basierte RAT (Remote Access Trojan), die mit WebSocket kommuniziert, um Browserdaten zu erfassen und beliebigen Code auszuführen.
Die .NET-Komponente überwacht Hardwareereignisse durch die Windows Management Instrumentation (WMI)-Infrastruktur, um zu erkennen, wann ein USB-Gerät angeschlossen ist. Wenn das Gerät als Ledger oder Trezor erscheint, wird ein Phishing-Fenster angezeigt, das die Herstelleroberfläche emuliert und den Benutzer dazu auffordert, die 24 Wörter des Recovery-Satzes einzugeben. Darüber hinaus kann Malware legitime Geldbörsen-Manager-Prozesse (z.B. Ledger Live) beenden und das betrügerische Fenster erneut anzeigen, wenn der Benutzer versucht, es zu schließen. Das ultimative Ziel ist es, die Wiederherstellungsphrase zu erfassen und zu einer von den Angreifern kontrollierten Richtung zu senden. Microsoft hält Dokumentation über WMI, die hilft zu verstehen, wie diese Fähigkeiten verwendet werden Hier. während Hardware-Walzen-Hersteller ständig davor warnen, den Samen in den Computer oder unified Anwendungen, wie es erklärt Led und Trezor.
Das RAT JavaScript ergänzt das Szenario mit einer Reihe von Funktionen, die den Download eines HVNC-Moduls zur versteckten Fernbedienung, die Einrichtung einer SOCKS-Proxy über WebRTC und die Massenextraktion von Browserdaten beinhalten: Cookies, Geschichte, Marker, lokale Speicherung und die DOM-Struktur des aktiven Tabs. Um langfristigen Zugriff zu gewährleisten, zwingt Malware die Installation einer Chrome-Erweiterung namens "Google Docs Offline". Diese Erweiterung fungiert als Trojanisches Pferd: sie kommuniziert mit dem C2 und kann Cookies und Sitzungstoken senden, Schlüsselimpulse erfassen, Screenshots und Exfilter-Clipboard-Daten.
Die Erweiterung kann auch selektive Überwachungsregeln anwenden: sie führt aus den Serverlisten von Seiten, um zu überwachen und in den beobachteten Fällen wurde es vorkonfiguriert, um Kryptomoneda-Dienste wie Bybit zu überwachen, auf der Suche nach bestimmten Cookies (z.B. sequre-token oder deviceid). Wenn Sie eine gültige Sitzung erkennen, schießen Sie einen Web-Hook auf den angreifenden Server mit Cookies und Metadaten auf der Seite. Darüber hinaus kann der C2 Umleitungsregeln senden, um den aktiven Tab zu zwingen, auf Seiten zu zeigen, die vom Angreifer kontrolliert werden, erleichtern Sitzungs- und Phishing-Angriffe in Echtzeit. Um besser zu verstehen, was eine Erweiterung aussetzen kann, können Entwickler die offizielle Dokumentation von Chrome-Erweiterungen überprüfen Hier..
Was die Mechanismen des Erlangens des Kontrollservers betrifft, verwenden die Autoren mehrere Strategien: eine verteilte Hash-Tabelle (DHT) als erste Option und, falls sie ausfällt, eine Auflösung mittels Memos in der Blockchain von Solana. In anderen Fällen wurden öffentliche URLs von Google Calendar-Events als "dead drops" verwendet, um die Payload-Adresse wiederherzustellen. Die Verwendung dieser Silageschichten - DHT, Blockchains und öffentliche Ressourcen - fügt der Reaktion und der Blockierung des schädlichen Verkehrs Komplexität hinzu; um die Genese und den Betrieb von DHT zu verstehen, kann eine technische Erklärung gefunden werden Hier..
Eine weitere neue Entwicklung ist die Bewegung der Akteure in das Model Context Protocol (MCP)-Ökosystem, wo sie begannen, npm-Pakete zu veröffentlichen, die seriöse Dienste aus dem IA-Feld supplantierten, um infizierten Code zu verteilen. Koi-Forscher haben darauf hingewiesen, dass in einem von IA zunehmend unterstützten Entwicklungskontext und mit hohem Vertrauen auf MCP-Servern dieser Vektor beunruhigend ist und wahrscheinlich repliziert wird.
Um die lokale Erkennung zu erleichtern, hat das polnische Unternehmen AFINE ein Open-Source-Tool namens Glaswürmer-Jäger veröffentlicht, das lokale Dateien auf der Suche nach Kampagnen-verknüpften Artefakten scannt, ohne Netzwerkanfragen während der Analyse zu machen. Das Tool und seine Einsatzindikatorbasis sind im offiziellen Repository von GitHub verfügbar. Hier., und AFINE erklärt seine Methodik in diesem technischen Artikel Hier.. Aikido's Bericht über die Chrome und RAT Erweiterung bietet mehr technische Details und kann auf Ihrem Blog konsultiert werden Hier..
Wenn Sie ein Entwickler oder ein Sicherheitsbeauftragter sind, sind die Lektionen klar: Vertrauen Sie nicht blind ein Paket für seine Anzahl von Downloads; überprüfen Sie die Geschichte des Publicators, aktivieren Sie eine starke Authentifizierung in den Wartungs-, Signatur- und Block kritische Abhängigkeitskonten und führen Integritätsprüfungen vor der Bereitstellung. Darüber hinaus können die Isolierung von Entwicklungsumgebungen und die Aufrechterhaltung von Erkennungs- und Antwortkontrollen die Auswirkungen dieser Art von Offensive-Infrastruktur begrenzen. Für einen institutionellen Ansatz für Software-Versorgungsketten ist es angebracht, die Führer der offiziellen Agenturen als CISA und NSA auf Sicherheit in der Lieferkette.
Schließlich, wenn Sie Hardware Geldbörsen verwenden, denken Sie daran, dass Sie dürfen nie den Wiederherstellungsphrase in einen Computer oder in einem auftauchenden Fenster eingeben, und dass der einzige sichere Weg, um den Zugang zu erholen, ist nach den offiziellen Verfahren des Herstellers. Legitimierte Unterschriften und offizielle Updates bleiben die effektivste Barriere gegen Kampagnen, die Social Engineering und technischen Missbrauch kombinieren. Das Halten von Informationen, die Einschränkung von Privilegien und die Validierung von Quellen ist heute die vernünftigste Verteidigung gegen Bedrohungen wie GlassWorm.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...