供应链攻击进入新阶段： 自我传播的 GlassWorm 蠕虫席卷开发者生态系统

网络安全研究人员发现了一种可自我传播的蠕虫病毒。它通过Open VSX Registry和Microsoft Extension Marketplace上的Visual Studio Code扩展进行传播。这一事件凸显出，开发者已成为网络攻击的主要目标。

这项由Koi Security命名的复杂威胁软件，代号为GlassWorm。这已经是近一个月内针对DevOps领域的第二起软件供应链攻击。9月中旬，名为Shai-Hulud的蠕虫恶意软件针对nmp生态系统发起攻击。

攻击的核心特点

此次攻击的突出之处在于其使用了Solana区块链进行命令与控制，使得其基础设施能够抵御关停操作。它还使用Google日历作为C2的备用机制。

另一个新颖之处在于，GlassWorm活动依赖于”使恶意代码在代码编辑器中 literally 消失的不可见Unicode字符”。Idan Dardikman在一份技术报告中表示：”攻击者使用了Unicode变体选择符——这些特殊字符是Unicode规范的一部分，但不会产生任何视觉输出。”

此次攻击的最终目的是窃取npm、Open VSX、GitHub和Git的凭证，清空49种不同加密货币钱包扩展中的资金，部署SOCKS代理服务器以将开发者机器变成犯罪活动的通道，安装隐藏的VNC服务器以获取远程访问权限，并利用被盗凭证武器化，进一步危害其他软件包和扩展以实现更广泛的传播。

目前已有14款扩展受感染。其中13个在Open VSX上，1个在Microsoft Extension Marketplace上。这些扩展的总下载量约达 35800 次。第一波感染浪潮发生在10月17日。目前尚不清楚这些扩展是如何被劫持的。

恶意代码的执行流程

首先，隐藏在扩展中的恶意代码会先搜索 Solana 区块链上与攻击者控制的钱包相关的交易。

若找到相关交易，代码会从交易的 “备注” 字段中提取一段 Base64 编码字符串，解码后得到用于获取下一阶段有效负载的 C2 服务器地址（为 “217.69.3 [.] 218” 或 “199.247.10 [.] 166”）。

该有效负载是一款信息窃取工具，可捕获凭证信息、身份验证令牌和加密货币钱包数据；同时会访问谷歌日历的某个事件，解析另一段 Base64 编码字符串，并联系上述同一服务器以获取名为 “Zombi” 的有效负载。最终窃取的数据会被传输至攻击者控制的远程端点（地址为 “140.82.52 [.] 31:80”）。

其中，Zombi模块使用JavaScript编写，它通过部署SOCKS代理、用于点对点通信的WebRTC模块、用于分布式命令分发的BitTorrent分布式哈希表以及用于远程控制的HVNC，将GlassWorm感染转变为全面入侵。

问题更为复杂的是，VS Code扩展默认配置为自动更新，这使得威胁行为者能够在无需任何用户交互的情况下自动推送恶意代码。

“这不是一次性的供应链攻击，” Dardikman说。”这是一种旨在像野火一样在开发者生态系统中传播的蠕虫。”

“攻击者已经找到了让供应链恶意软件自我维持的方法。他们不再仅仅是危害单个软件包——他们正在构建能够自主在整个软件开发生态系统中传播的蠕虫。”

这一事态发展正值利用区块链部署恶意负载的技术因其假名性和灵活性而激增之际，甚至来自朝鲜的威胁行为者也利用该技术来策划其间谍活动和出于经济动机的攻击活动。

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；