网络安全研究人员近日披露,针对Visual Studio Code生态系统的GlassWorm恶意软件活动再现新动向。三款仍可下载的VS Code扩展被发现植入该恶意代码,总安装量已近万次。
涉事扩展包括:
- ai-driven-dev.ai-driven-dev(3,402次下载)
- adhamu.history-in-sublime-merge(4,057次下载)
- yasuyuky.transient-emacs(2,431次下载)
GlassWorm攻击活动最初由Koi Security于上月末披露,其独特之处在于使用不可见Unicode字符隐藏恶意代码,并通过窃取的凭证进一步入侵其他扩展,形成类似蠕虫的自我复制传播循环。该恶意软件主要窃取Open VSX、GitHub和Git凭证,盗取49款加密货币钱包扩展资金,并投放远程访问工具。
尽管Open VSX注册中心已于10月21日下架所有恶意扩展并撤销相关令牌,但Koi Security最新报告显示,攻击者通过向Solana区块链提交新交易,成功更新了命令与控制(C2)服务器地址。研究人员指出:”这彰显了基于区块链的C2基础设施韧性——即使载荷服务器被关闭,攻击者仅需支付极低成本提交新交易,所有受感染机器就会自动获取新地址。”
安全厂商还意外发现攻击者服务器上暴露的端点信息,受害者名单涵盖美国、南美、欧洲和亚洲等多个地区,其中包括中东某主要政府机构。通过对攻击者机器上获取的键盘记录数据进行分析,研究人员判定威胁行为主体使用俄语,并采用开源浏览器扩展C2框架RedExt作为其基础设施组成部分。
Koi Security警告:”这些受害组织与个人的凭证已被窃取,其机器可能正在为犯罪活动提供代理基础设施,内部网络或已遭渗透。”与此同时,Aikido Security最新研究显示,GlassWorm已扩大攻击范围开始针对GitHub,被窃凭证正被用于向代码库推送恶意提交。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容