Die Engagement-Kampagne der Lieferkette namens GlassWorm hat wieder mit einer viel breiteren koordinierten Welle als ursprünglich beobachtet. Forscher aus verschiedenen Gemeinschaften und Sicherheitsunternehmen - einschließlich Aikido, Sockel, Schritt Sicherheit und die Gemeinschaft OpenSourceMalware- haben Hunderte von Paketen, Repositories und Erweiterungen identifiziert, die auf Plattformen wie GitHub, npm und die Erweiterung Marktplätze für Editoren betroffen sind.
In dieser neuen Phase ist der Umfang bemerkenswert: Hunderte von Python- und JavaScript-Repositories wurden in GitHub dokumentiert, Dutzende von Erweiterungen in VSCode / OpenVSX und mehrere Pakete in npm mit Code Cut oder ostrucated von Unicode-Zeichen "unsichtbar". Die Technik des Einfügens von nicht druckbaren Zeichen macht es einfacher, dass der bösartige Code unbemerkt für Oberflächenbewertungen und automatische Filter passieren, weil die Datei mag legitim für menschliche Augen und Scanner scheinen, die den Text nicht normalisieren.
Die gemeinsame Forschung weist auf den gleichen Betreiber hinter den verschiedenen Wellen hin: Die Berichte unterstreichen die wiederholte Verwendung einer Richtung in der Blockchain von Solana als Befehls- und Kontrollkanal, die Wiederverwendung von Infrastruktur und Nutzlasten mit gleichwertiger Funktionalität und Muster von Abfluss und Beharrlichkeit, die zwischen betroffenen Projekten vergleichbar sind. Dies sind die Details, die es Analysten ermöglichen, Vorfälle zu korrelieren und zu vermuten, dass sie nicht isolierte Anschläge sind, sondern eine zentralisierte Kampagne.
Technisch beginnt die Infektion in der Regel mit der Berücksichtigung in GitHub und die Einführung von schädlichen Verpflichtungen durch Kraft-Push. Von dort veröffentlichen die Angreifer Pakete oder Erweiterungen zu Datensätzen wie npm oder OpenVSX. Die Malware beinhaltet eine Routine, die Solanas Lockchain alle paar Sekunden auf der Suche nach transaktionscodierten Anweisungen konsultiert - Step Security-Forscher dokumentiert etwa 50 relevante Transaktionen zwischen Ende November 2025 und Mitte März 2026 - und diese Anweisungen richten den Download und die Ausführung einer Node.js Laufzeit, die einen auf JavaScript geschriebenen Informationsdieb entfaltet.
Die Ziele der Spion-Software sind klar: Datenextraktion von Kryptomoneda-Münzen, Anmeldeinformationen, Zugriffstoken, SSH-Schlüssel und Entwicklungsumgebung Artefakte, die Ihnen erlauben, zusätzliche Repositorien oder Anmeldeinformationen zu verschwenken und zu stehlen. In einigen früheren Kampagnen gab es auch eine Reihe von verseilten Macos - zum Beispiel gefälschte Kunden von Hardware Geldbeutel - und engagierte Erweiterungen, die ununterstützte IDEs durch OpenVSX erreicht, wie von einem Forscher in der Analyse von OpenVSX.
Die Analyse des Codes verweist auf Autoren, die auf Russisch kommentieren und auf eine Logik, die es vermeidet, in Systemen zu laufen, die in dieser Sprache konfiguriert sind; dass Daten allein nicht ausreichen, die Verantwortung einer bestimmten Nation oder Gruppe mit Sicherheit zuzuordnen. Die Zuschreibung erfordert mehr operative Beweise und Korroborierung aus mehreren Quellen.
Wenn Sie mit Einheiten arbeiten, die direkt aus Repositories installiert sind oder in der Regel klonen Projekte, um sie zu implementieren, ist es angebracht, technische Indikatoren zu überprüfen, die Analysten geteilt haben. Einer von ihnen ist das Vorhandensein einer Markervariable, die als "lzcdrtfxyqiplpd" gekennzeichnet ist, die als ein offenbarendes Zeichen in mehreren engagierten Repositories diente. Persistenz wurde auch mit einer lokalen Konfigurationsdatei (~ / init.json) und die stille Installation von Node.js-Versionen in Benutzerverzeichnissen (wie ~ / node-v22 *), zusätzlich zu verdächtigen Dateien mit Namen wie i.js in neu geklonten Projekten und Verpflichtungen, deren Metadaten seltsame Unterschiede zwischen dem Datum des Autors und dem des Engagements zeigen.
In Anbetracht dieses Szenarios gehen Eindämmungs- und Minderungsmaßnahmen durch rotierende Schlüssel und Token, die möglicherweise ausgesetzt wurden, die Geschichte der Verpflichtungen und Pakete, die auf ihren eigenen Konten veröffentlicht wurden, überprüfen und nach Artefakten in Entwicklungssystemen suchen. Es wird auch empfohlen, zusätzliche Steuerungen auf Repository-Konten zu aktivieren: Aktivieren Sie die Authentifizierung von zwei Faktoren, überprüfen Sie aktive Sitzungen und autorisierte SSH-Tasten und begrenzen Sie Token mit minimalen Berechtigungen. GitHub und andere Lieferanten veröffentlichen Anleitungen zum Sichern von Konten und Repositorien; zum Beispiel ist GitHubs 2FA-Dokumentation ein guter Ausgangspunkt: https: / / docs.github.com /... / Zwei-Faktor-Authentifizierung-2fa.
Für Entwicklungsteams und Plattformmanager ist es von entscheidender Bedeutung, die Abhängigkeiten als potenziell unzuverlässigen Code zu behandeln: Unterschriften zu validieren, wenn sie vorhanden sind, Versionen in den Sperrdateien festlegen, Änderungen in den Versandpaketen überprüfen und die Tools für die Analyse von Lieferketten nutzen, die Repository- und Paketdaten scannen. Registrierungs- und vermarktbare Betreuer sollten auch die Erkennung von Unicode-Abbildungsmustern verbessern und die Rechnungs- und Veröffentlichungsprüfungsprozesse stärken.
Was die Reaktion auf Vorfälle betrifft, ist es angebracht, Beweise zu halten (Logs, Build-ups, verübte Dateikopien), infizierte Maschinen von Entwicklungsnetzwerken zu trennen und eine Inventar von Geheimnissen zu machen, die ausgefiltert werden könnten. Organisationen, die von Open Source in der Produktion abhängig sind, sollten zusätzliche Präventionskontrollen berücksichtigen, wie isolierte Gebäudeumgebungen, reproduzierbare Signaturen und Pipelines, die keinen Fremdcode ohne vorherige Überprüfung implementieren.
GlassWorm erinnert uns daran, dass die Sicherheit der modernen Software nicht auf den Code beschränkt ist, den wir schreiben, sondern erstreckt sich auf die riesige Oberfläche, die Repositories, Pakete und Drittanbieter-Erweiterungen bilden. Die Software-Versorgungskette ist so stark oder so schwach wie der am wenigsten geschützte Link, und diese Kampagne zeigt, wie sich Akteure mit Praxis und Ressourcen seitlich durch legitime Werkzeuge und Dienstleistungen bewegen können, um wertvolle Ziele zu erreichen.
Wenn Sie in die technischen Berichte gehen und die von den Teams veröffentlichten Indikatoren überprüfen möchten, die diese Bedrohung analysiert haben, können Sie Aikidos Artikel über die Rückkehr von GlassWorm sehen ( Hier.), die OpenVSX-Analyse von Socket ( Hier.), und die Aufschlüsselung der Kampagnen- und Verpflichtungssignale ( Hier.) Um zu verstehen, wie Solanas Transaktionen Memos mit Anweisungen tragen können, ist Solanas offizielle Dokumentation zum Memo-Programm eine nützliche Referenz: https: / / docs.solana.com /... / Programme # memo-program.
Die Sicherheitsgemeinschaft und die Entwickler müssen wachsam sein und Indikatoren und Minderungen teilen, um diese und andere ähnliche Kampagnen zu stoppen. Die Zusammenarbeit zwischen Infrastrukturbetreibern, Open Source Projekt Managern und Registrierungsanbietern ist unerlässlich, um das Belichtungsfenster zu reduzieren und die Schutzleiste für alle zu erhöhen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...