🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A campanha de malware GlassWorm está sendo usada para alimentar um ataque contínuo que aproveita os tokens roubados do GitHub para injetar malware em centenas de repositórios Python.
“O ataque tem como alvo projetos Python – incluindo aplicativos Django, código de pesquisa de ML, painéis Streamlit e pacotes PyPI – anexando código ofuscado a arquivos como setup.py, main.py e app.py”, disse StepSecurity. “Qualquer pessoa que execute pip install a partir de um repositório comprometido ou clone e execute o código irá acionar o malware.”
De acordo com a empresa de segurança da cadeia de suprimentos de software, as primeiras injeções datam de 8 de março de 2026. Os invasores, ao obterem acesso às contas dos desenvolvedores, rebaseiam os últimos commits legítimos na ramificação padrão dos repositórios alvo com código malicioso e, em seguida, forçam as alterações, mantendo intactas a mensagem, o autor e a data do autor do commit original.
Este novo desdobramento da campanha GlassWorm recebeu o codinome ForceMemo. O ataque ocorre através das quatro etapas a seguir -
Comprometa os sistemas dos desenvolvedores com o malware GlassWorm por meio de extensões maliciosas do VS Code e do Cursor. O malware contém um componente dedicado para roubar segredos, como tokens GitHub.
Use as credenciais roubadas para forçar alterações maliciosas em todos os repositórios gerenciados pela conta GitHub violada, rebaseando o malware ofuscado em arquivos Python chamados "setup.py", "main.py" ou "app.py".
A carga útil codificada em Base64, anexada ao final do arquivo Python, apresenta verificações semelhantes às do GlassWorm para determinar se o sistema tem sua localidade definida como russo. Nesse caso, ele pula a execução. Em todos os outros casos, o malware consulta o campo de memorando de transação associado a uma carteira Solana (“BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC”) anteriormente vinculada ao GlassWorm para extrair o URL da carga útil.
Baixe cargas adicionais do servidor, incluindo JavaScript criptografado projetado para roubar criptomoedas e dados.
“A primeira transação no endereço C2 data de 27 de novembro de 2025 – mais de três meses antes das primeiras injeções de repositório GitHub em 8 de março de 2026”, disse StepSecurity. “O endereço tem um total de 50 transações, com o invasor atualizando regularmente o URL da carga útil, às vezes várias vezes por dia.”
A divulgação ocorre no momento em que o Socket sinaliza uma nova iteração do GlassWorm que tecnicamente mantém a mesma habilidade comercial central, ao mesmo tempo que melhora a capacidade de sobrevivência e a evasão, aproveitando extensionPack e extensionDependencies para entregar a carga maliciosa por meio de um modelo de distribuição transitivo.
Paralelamente, a Aikido Security também atribuiu o autor do GlassWorm a uma campanha em massa que comprometeu mais de 151 repositórios GitHub com código malicioso oculto usando caracteres Unicode invisíveis. Curiosamente, a carga útil decodificada está configurada para buscar as instruções C2 da mesma carteira Solana, indicando que o agente da ameaça tem como alvo os repositórios GitHub em várias ondas.
O uso de diferentes métodos de entrega e métodos de ofuscação de código, mas a mesma infraestrutura Solana, sugere que ForceMemo é um novo vetor de entrega mantido e operado pelo ator de ameaça GlassWorm, que agora expandiu de comprometer extensões de código VS para uma aquisição mais ampla de contas GitHub.
“O invasor injeta malware forçando o branch padrão dos repositórios comprometidos”, observou StepSecurity. "Essa técnica reescreve o histórico do git, preserva a mensagem de commit original e o autor e não deixa nenhuma solicitação pull ou trilha de commit na interface do GitHub. Nenhuma outra campanha documentada da cadeia de suprimentos usa esse método de injeção."
“O ataque tem como alvo projetos Python – incluindo aplicativos Django, código de pesquisa de ML, painéis Streamlit e pacotes PyPI – anexando código ofuscado a arquivos como setup.py, main.py e app.py”, disse StepSecurity. “Qualquer pessoa que execute pip install a partir de um repositório comprometido ou clone e execute o código irá acionar o malware.”
De acordo com a empresa de segurança da cadeia de suprimentos de software, as primeiras injeções datam de 8 de março de 2026. Os invasores, ao obterem acesso às contas dos desenvolvedores, rebaseiam os últimos commits legítimos na ramificação padrão dos repositórios alvo com código malicioso e, em seguida, forçam as alterações, mantendo intactas a mensagem, o autor e a data do autor do commit original.
Este novo desdobramento da campanha GlassWorm recebeu o codinome ForceMemo. O ataque ocorre através das quatro etapas a seguir -
Comprometa os sistemas dos desenvolvedores com o malware GlassWorm por meio de extensões maliciosas do VS Code e do Cursor. O malware contém um componente dedicado para roubar segredos, como tokens GitHub.
Use as credenciais roubadas para forçar alterações maliciosas em todos os repositórios gerenciados pela conta GitHub violada, rebaseando o malware ofuscado em arquivos Python chamados "setup.py", "main.py" ou "app.py".
A carga útil codificada em Base64, anexada ao final do arquivo Python, apresenta verificações semelhantes às do GlassWorm para determinar se o sistema tem sua localidade definida como russo. Nesse caso, ele pula a execução. Em todos os outros casos, o malware consulta o campo de memorando de transação associado a uma carteira Solana (“BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC”) anteriormente vinculada ao GlassWorm para extrair o URL da carga útil.
Baixe cargas adicionais do servidor, incluindo JavaScript criptografado projetado para roubar criptomoedas e dados.
“A primeira transação no endereço C2 data de 27 de novembro de 2025 – mais de três meses antes das primeiras injeções de repositório GitHub em 8 de março de 2026”, disse StepSecurity. “O endereço tem um total de 50 transações, com o invasor atualizando regularmente o URL da carga útil, às vezes várias vezes por dia.”
A divulgação ocorre no momento em que o Socket sinaliza uma nova iteração do GlassWorm que tecnicamente mantém a mesma habilidade comercial central, ao mesmo tempo que melhora a capacidade de sobrevivência e a evasão, aproveitando extensionPack e extensionDependencies para entregar a carga maliciosa por meio de um modelo de distribuição transitivo.
Paralelamente, a Aikido Security também atribuiu o autor do GlassWorm a uma campanha em massa que comprometeu mais de 151 repositórios GitHub com código malicioso oculto usando caracteres Unicode invisíveis. Curiosamente, a carga útil decodificada está configurada para buscar as instruções C2 da mesma carteira Solana, indicando que o agente da ameaça tem como alvo os repositórios GitHub em várias ondas.
O uso de diferentes métodos de entrega e métodos de ofuscação de código, mas a mesma infraestrutura Solana, sugere que ForceMemo é um novo vetor de entrega mantido e operado pelo ator de ameaça GlassWorm, que agora expandiu de comprometer extensões de código VS para uma aquisição mais ampla de contas GitHub.
“O invasor injeta malware forçando o branch padrão dos repositórios comprometidos”, observou StepSecurity. "Essa técnica reescreve o histórico do git, preserva a mensagem de commit original e o autor e não deixa nenhuma solicitação pull ou trilha de commit na interface do GitHub. Nenhuma outra campanha documentada da cadeia de suprimentos usa esse método de injeção."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ataque #glassworm #usa #tokens #github #roubados #para #forçar #malware #em #repositórios #python
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário