Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

GlassWorm: Unicode‑обфускация и Solana C2 в атаках цепочки поставок

3 мин
Исследователи безопасности обнаружили масштабную и скоординированную кибератаку, получившую название GlassWorm. По итогам расследований, кампания затронула более 430 репозиториев и пакетов на таких платформах, как GitHub, NPM, PyPI и VS Code marketplace, используя сложные методы обфускации и гибридную инфраструктуру управления. Злоумышленники применяют *селекторы вариантов Unicode* и другие Unicode‑приёмы для маскировки вредоносной полезной нагрузки внутри легитимных проектов. Такая обфускация делает зловред практически невидимым для большинства автоматизированных проверок и позволяет запускать вредоносный код в средах Node.js без детектирования. Аналогичная тактика наблюдается в расширениях для VS Code: вредоносные расширения доставляют полезную нагрузку способом, имитирующим поведение пакетов NPM, что затрудняет их отличие от обычного функционала. Анализ показал, что кампания использует гибридную архитектуру C2, сочетающую традиционные загрузчики и транзакции в блокчейне Solana. Злоу
Оглавление

Исследователи безопасности обнаружили масштабную и скоординированную кибератаку, получившую название GlassWorm. По итогам расследований, кампания затронула более 430 репозиториев и пакетов на таких платформах, как GitHub, NPM, PyPI и VS Code marketplace, используя сложные методы обфускации и гибридную инфраструктуру управления.

Ключевые находки

  • Общее число пострадавших репозиториев и пакетов превышает 430.
  • По данным Aikido Security, атаки были направлены как минимум на 151 репозиторий GitHub и пакеты NPM.
  • Socket сообщил о 72 вредоносных расширениях в Open‑VSX marketplace, связанных с GlassWorm.
  • Кампания ForceMemo от Step Security выявила сотни скомпрометированных Python‑репозиториев в результате захвата учетных записей и вредоносных коммитов.

Техника атак: Unicode‑обфускация и скрытый загрузчик

Злоумышленники применяют *селекторы вариантов Unicode* и другие Unicode‑приёмы для маскировки вредоносной полезной нагрузки внутри легитимных проектов. Такая обфускация делает зловред практически невидимым для большинства автоматизированных проверок и позволяет запускать вредоносный код в средах Node.js без детектирования.

Аналогичная тактика наблюдается в расширениях для VS Code: вредоносные расширения доставляют полезную нагрузку способом, имитирующим поведение пакетов NPM, что затрудняет их отличие от обычного функционала.

Инфраструктура управления (C2): гибридный подход с использованием блокчейна

Анализ показал, что кампания использует гибридную архитектуру C2, сочетающую традиционные загрузчики и транзакции в блокчейне Solana. Злоумышленники использовали жестко закодированный адрес Solana, который фигурирует в отчетах нескольких поставщиков — это указывает на единого оператора атак на разных платформах.

Использование блокчейна в роли канала управления отличается высокой устойчивостью: команды могут публиковаться в виде неизменяемых транзакций, которые жертвы считывают — это усложняет блокировку и вмешательство со стороны защитников.

Географические и операционные признаки

  • Исследования указывают на возможное российское происхождение истоков кампании: в коде обнаружены комментарии на русском языке и механизмы, предотвращающие выполнение в российских системах.
  • Злоумышленники демонстрировали оперативную безопасность, намеренно исключая российские системы из‑под своей атаки — поведение, часто ассоциируемое с восточноевропейскими киберпреступными группами.

Почему это опасно для supply chain ПО

Операционный метод GlassWorm подчёркивает изменение в тактиках атак на компоненты поставок: компрометация одного узла экосистемы может привести к заражению тысяч проектов. Масштабное использование обфускации и распределённых каналов C2 делает такие инциденты особенно серьёзными для разработчиков и организаций, зависящих от открытого ПО.

Рекомендации по защите

Анализ кампании указывает на необходимость координированных действий со стороны сообществ и поставщиков безопасности. В числе практических мер:

  • Укреплять обмен информацией об угрозах между поставщиками инструментов и площадок (кросс‑платформенное threat intelligence).
  • Внедрять дополнительные проверки при приёме пакетов и расширений: контроль необычных Unicode‑сочетаний, анализ нестандартных загрузчиков и инспекция зависимостей.
  • Усилить защиту учетных записей (MFA, мониторинг аномалий) чтобы снизить риск захвата репозиториев и вредоносных коммитов.
  • Разработчикам — регулярно сканировать репозитории на предмет подозрительных изменений и обращать внимание на нестандартные способы доставки кода.
  • Организовать совместные инициативы по мониторингу новых тенденций в поведении вредоносного ПО и оперативному реагированию на инциденты.

Вывод

Кампания GlassWorm демонстрирует, как злоумышленники переходят к сложным, мультиплатформенным и устойчивым методам управления вредоносным ПО. Комбинация Unicode‑обфускации и использования публичного блокчейна для C2 делает угрозу необычайно стойкой. Для защиты экосистемы ПО требуется координация между платформами, усиление процедур проверки кода и проактивный обмен информацией об угрозах — только так можно снизить риски для supply chain разработок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "GlassWorm: Unicode‑обфускация и Solana C2 в атаках цепочки поставок".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.