Недавние наблюдения указывают на возобновление кибератак, связанных с Glassworm, — атакующие активизировались в праздничный период и вновь использовали проверенные механизмы компрометации расширений. Исследователи безопасности выявили тревожную тенденцию: 23 расширения, замаскированные под законные аналоги, были намеренно опубликованы на code marketplaces и демонстрируют поведение, характерное для атак на цепочку поставок ПО.
Ключевые факты
- В общей сложности отслеживаются 23 подозрительных расширения, часть из которых уже содержит внедрённые вредоносные полезные нагрузки.
- Расширения публиковались как легитимные аналоги популярных продуктов, чтобы получить первоначальное одобрение модерации.
- После утверждения злоумышленники заменяют исходный код или используют механизм обновления для доставки вредоносного кода.
- Активация вредоносной полезной нагрузки зачастую зависит от контекста и происходит сразу после фазы активации, что затрудняет обнаружение на ранних этапах.
- Некоторые злоумышленники манипулируют статистикой загрузок, чтобы повысить доверие и увеличить распространение расширений.
- Часть расширений уже удалена с marketplace, однако лёгкость повторной публикации указывает на системную проблему с контролем и модерацией.
Как работает атака
Атака строится на манипуляции жизненным циклом расширения. Злоумышленники проходят стадию публикации с безвредным кодом, получают одобрение модерации, а затем инициируют обновление, которое подменяет легальный код на вредоносный. Такой подход позволяет обойти статические сигнатуры и многие автоматические фильтры, ориентированные на проверку при первоначальной загрузке.
Ключевые технические моменты:
- Использование механизмов обновления расширений для доставки payload после одобрения.
- Активация payload в специфичных условиях (context activation), чтобы избежать детектирования в тестовой среде.
- Манипуляции с метриками (downloads, рейтинг), повышающие доверие пользователей и ускоряющие распространение.
Почему это особенно опасно
Тактика демонстрирует высокую степень скрытности и устойчивости к стандартным средствам защиты. Даже при наличии сигнатур и правил обнаружения злоумышленники находятся в выигрыше, если они способны менять код после модерации. Последствия включают:
- массовую компрометацию конечных пользователей и организаций;
- длительную латентность вредоносной активности до момента обнаружения;
- искажение доверия к платформам распространения расширений.
«Эта тактика демонстрирует способность злоумышленников манипулировать жизненным циклом расширения, чтобы скомпрометировать пользовательские системы без немедленного обнаружения», — отмечают исследователи.
Действия платформ и текущие ограничения
Часть обнаруженных расширений была удалена с marketplace, однако повторная публикация остаётся простой процедурой для злоумышленников. Это указывает на проблемы в следующих областях:
- процедуры верификации издателей и контроля изменений в опубликованном коде;
- недостаточная интеграция динамического анализа и мониторинга post-approval изменений;
- отсутствие эффективных мер против манипуляций с метриками и репутацией.
Рекомендации для снижения рисков
Чтобы ограничить воздействие кампаний типа Glassworm, необходима комбинация организационных и технических мер:
- Для платформ (code marketplaces и marketplace):ввести обязательную верификацию издателя (организация/индивидуальный разработчик), многофакторную аутентификацию и проверку происхождения изменений;
внедрить постоянный мониторинг изменений кода и автоматические алерты при появлении post-approval commits или необычных обновлений;
использовать static + dynamic analysis, sandboxing и behavioral detection для обновлений;
ограничивать и проверять механизмы обновлений (подпись обновлений, блокировка автоматических апдейтов до прохождения проверок). - Для корпоративных команд SecOps и разработчиков:внедрить белые списки и контроль расширений в корпоративной среде;
использовать EDR/endpoint security с мониторингом подозрительных вызовов и network indicators;
регулярно проверять зависимости и расширения на предмет изменения хешей и поведения;
обучать сотрудников и пользователей вопросам безопасного использования расширений и признакам фишинга/манипулирования репутацией. - Общие меры:разработать и внедрить процессы быстрого отката и блокировки обновлений при обнаружении инцидентов;
создать механизмы прозрачной отчетности о модерации и инцидентах на платформах.
Вывод
Кампания Glassworm вновь подчёркивает уязвимость экосистем распространения расширений: злоумышленники успешно эксплуатируют сочетание административных слабостей и технических пробелов. Для защиты пользователей и корпоративных сред необходима координация между площадками, производителями средств безопасности и конечными пользователями, а также внедрение более строгих контроля и современных методов детекции.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Glassworm: массовая подмена расширений на маркетплейсах".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.