Кампания GlassWorm вернулась с новой скоординированной атакой на сотни пакетов, репозиториев и расширений на GitHub, npm и VSCode/OpenVSX. Злоумышленники используют символы Unicode и блокчейн Solana для управления вредоносным ПО, нацеленным на данные разработчиков. — bleepingcomputer.com
Кампания GlassWorm, нацеленная на цепочки поставок, вернулась с новой скоординированной атакой, затронувшей сотни пакетов, репозиториев и расширений на GitHub, npm и в расширениях VSCode/OpenVSX.
Исследователи из Aikido, Socket, Step Security и сообщества OpenSourceMalware совместно выявили 433 скомпрометированных компонента в атаках, приписываемых GlassWorm, в этом месяце.
Свидетельством того, что за кампаниями GlassWorm стоит один и тот же злоумышленник, действующий в различных репозиториях открытого исходного кода, является использование одного и того же адреса блокчейна Solana для командно-контрольной (C2) активности, идентичных или функционально схожих полезных нагрузок и общей инфраструктуры.
Впервые о GlassWorm стало известно в октябре прошлого года, когда злоумышленники использовали «невидимые» символы Unicode для сокрытия вредоносного кода, который похищал данные криптовалютных кошельков и учетные данные разработчиков.
Кампания продолжилась несколькими волнами и распространилась на официальный маркетплейс Visual Studio Code от Microsoft и реестр OpenVSX, используемый в неподдерживаемых IDE, как обнаружил исследователь из Secure Annex Джон Такнер.
Системы macOS также подверглись атаке, в результате чего появились троянизированные клиенты для Trezor и Ledger, а позже атаки были направлены на разработчиков через скомпрометированные расширения OpenVSX.
Однако последняя волна атак GlassWorm значительно масштабнее и затронула:
- 200 репозиториев Python на GitHub
- 151 репозиторий JS/TS на GitHub
- 72 расширения VSCode/OpenVSX
- 10 пакетов npm
Первоначальное заражение происходит на GitHub, где скомпрометированные учетные записи используются для принудительного внедрения вредоносных коммитов (force-push).
Затем вредоносные пакеты и расширения публикуются на npm и VSCode/OpenVSX с использованием обфусцированного кода (невидимые символы Unicode) для обхода обнаружения.
На всех платформах блокчейн Solana опрашивается каждые пять секунд на предмет новых инструкций. По данным Step Security, в период с 27 ноября 2025 года по 13 марта 2026 года было зафиксировано 50 новых транзакций, в основном для обновления URL полезной нагрузки.
Инструкции внедрялись в виде мемо в транзакциях и приводили к загрузке среды выполнения Node.js и выполнению JavaScript-стилера информации.
Вредоносное ПО нацелено на данные криптовалютных кошельков, учетные данные и токены доступа, SSH-ключи и данные среды разработки.
Анализ комментариев к коду указывает на то, что GlassWorm управляется русскоязычными злоумышленниками. Кроме того, вредоносное ПО пропускает выполнение, если в системе обнаружена русская локаль. Однако этих данных недостаточно для уверенной атрибуции.
Step Security советует разработчикам, которые устанавливают пакеты Python непосредственно с GitHub или запускают клонированные репозитории, проверять наличие признаков компрометации, ища в кодовой базе маркерную переменную «lzcdrtfxyqiplpd» — индикатор вредоносного ПО GlassWorm.
Они также рекомендуют проверять системы на наличие файла ~/init.json, который используется для обеспечения постоянства, а также на наличие неожиданных установок Node.js в домашнем каталоге (например, ~/node-v22*).
Кроме того, разработчикам следует искать подозрительные файлы i.js в недавно клонированных проектах и просматривать историю коммитов Git на предмет аномалий, таких как коммиты, в которых дата коммитера значительно новее, чем дата исходного автора.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas