开发人员将不得不应对 Visual Studio Code (VS Code) 扩展程序中已激活的恶意代码,据信该代码通过窃取 GitHub、Open VSX 和加密货币钱包的dent,危害了数千名用户。.
网络安全公司 Koi Security 上月底首次dent恶意代码到看似合法的开发者工具中。
Koi 安全研究人员表示,此次攻击活动的主要目的是窃取开发者dent,例如 NPM 令牌、GitHub 登录信息和 Gitdent,从而破坏供应链并进行金融盗窃。.
根据 Koi 的分析,同一恶意软件还攻击了 49 种不同的加密货币钱包扩展程序,窃取用户资金并将敏感数据泄露到远程服务器。.
GlassWorm 将开发者的机器变成了犯罪分子的工具
据 Koi 团队博客文章(该文章分享,这些恶意扩展程序会部署 SOCKS 代理服务器,并利用被入侵的开发者系统构建犯罪代理网络。与此同时,它们还会安装隐藏的 VNC 服务器,使攻击者能够在不留下任何明显痕迹的情况下远程完全访问受害者的机器。
被盗的 GitHub 和 NPMdent可以帮助攻击者感染其他存储库和软件包,并使 GlassWorm 能够更深入地传播到软件供应链中。.
Open VSX 于 10 月 21 日确认已dent并删除了与该活动相关的所有已知恶意扩展程序,并撤销和轮换了被入侵的令牌。.
然而,Koi Security 的最新报告显示,GlassWorm 再次出现,它使用更高级的基于 Unicode 的混淆技术来绕过检测系统。.
据该公司称,10月17日,七个扩展程序再次遭到入侵,累计下载量达35,800次。Koi的遥测数据显示,截至发稿时,仍有十个受感染的扩展程序处于活跃状态并可公开访问,且正在传播恶意软件。.
“攻击者的命令与控制基础设施仍然完全运行。有效载荷服务器仍在响应,窃取的dent正被用于入侵新的软件包。”
CodeJoy恶意软件坚不可摧,Koi安全公司辟谣
Koi 的风险分析引擎在 1.8.3 版本出现“异常行为变化”后,将名为 CodeJoy 的 Open VSX 扩展程序标记为可疑。CodeJoy 看起来像是一款合法的开发者效率工具,拥有数百次下载量、简洁的代码库和定期更新。.
Koi 的研究人员表示:“当我们打开源代码时,我们注意到第二行和第七行之间存在巨大的空白。那不是空白,而是用无法打印的 Unicode 字符编码的恶意代码,这些字符在你的代码编辑器中无法显示。”
攻击者使用了难以察觉的 Unicode 变体选择器,使得恶意代码对人眼完全不可见。静态分析工具和人工代码审查均未发现任何异常,但 JavaScript 解释器却完美地执行了这些隐藏的命令。.
解码后,这些不可见的字符揭示了第二阶段有效载荷机制,Koi 研究人员发现该机制使用 Solana 区块链作为其命令和控制 (C2) 基础设施。.
Koi解释说:“攻击者使用公共区块链作为其C2通道,该区块链不可篡改、去中心化且抗审查。”.
该恶意软件会扫描 Solana 网络,查找来自预设钱包地址的交易。一旦找到,它会读取交易备注字段(memo field),该字段可以附加任意文本。备注字段中包含一个 JSON 对象,其中包含一个 base64 编码的链接,用于下载下一阶段的有效载荷。.
Koi 的分析显示,10 月 15 日的 Solana 交易包含的数据被解码为一个 URL,该 URL 托管着下载恶意软件下一阶段的活动位置。.
攻击者可以通过发布一笔价值几分之一美分的 Solana 新交易来轮换有效载荷,从而更新所有受感染的、向区块链查询新指令的扩展程序。.
根据 Koi 的说法,即使防御者阻止了一个有效载荷 URL,攻击者也可以比阻止一个有效载荷 URL 更快地发出另一个有效载荷 URL。.
“这就像玩打地鼠游戏,而地鼠的数量无穷无尽,”一位锦鲤研究人员指出。.
Koi Security 成员 Idan Dardikman、Yuval Ronen 和 Lotan Sery 证实,该威胁行为者最近在本周发布了包含新命令端点的 Solana 新交易。.
