🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
CrowdStrike, em parceria com o Google e a Shadowserver Foundation, anunciou a interrupção simultânea de todos os canais de comando e controle (C2) associados ao GlassWorm, uma campanha persistente de cadeia de software que visa desenvolvedores de software por meio de pacotes e extensões maliciosas.
“Desde pelo menos o início de 2025, os operadores do GlassWorm têm como alvo sistemático os desenvolvedores de software, uma população com acesso a repositórios de código-fonte, plataformas em nuvem, pipelines de CI/CD e registros de pacotes”, disse CrowdStrike.
O desenvolvimento ocorre no momento em que os desenvolvedores se tornam alvos cada vez mais lucrativos para realizar ataques à cadeia de fornecimento de software, permitindo que os invasores aproveitem uma única estação de trabalho comprometida para impactar milhares de organizações e usuários downstream de uma só vez.
GlassWorm, desde seu surgimento no ano passado, conduziu uma “campanha multifacetada” usando extensões trojanizadas do VS Code publicadas no Microsoft VS Code Marketplace e no Open VSX, tornando assim possível atingir usuários de garfos do VS Code como Cursor, Positron, Windsurf e VSCodium.
A campanha também é conhecida por ter introduzido código malicioso por meio de pacotes npm e Python comprometidos. O objetivo final dos ataques é fornecer uma estrutura de roubo de dados com coleta de credenciais, exfiltração de carteiras de criptomoedas e recursos de criação de perfis de sistema.
Descobriu-se que iterações subsequentes do GlassWorm implantam um RAT JavaScript baseado em Websocket chamado GlassWormRAT para roubar dados do navegador da web e executar código arbitrário, incluindo a instalação de uma extensão do Google Chrome que, por sua vez, coleta dados confidenciais, incluindo capturas de tela, pressionamentos de teclas e conteúdo da área de transferência, do sistema infectado.
“Uma vez ativo, o malware procura credenciais de desenvolvedor no host (GitHub, NPM, tokens OpenVSX, carteiras criptográficas), permitindo maior comprometimento de repositórios e uploads de pacotes”, disse Kiran Raj, pesquisador do Endor Labs.
"Os hosts infectados são convertidos em infraestrutura secreta: proxies SOCKS, servidores VNC ocultos (HVNC) e nós de execução remota (via WebRTC ou processos Node.js gerados). Isso dá aos invasores acesso anônimo à rede em redes corporativas e pessoais e uma plataforma para se propagar ainda mais."
Cumulativamente, a atividade maliciosa teria envenenado mais de 300 repositórios GitHub usando credenciais de desenvolvedor roubadas. O que tornou a operação notável foi o uso de quatro canais C2 distintos para melhorar a resiliência -
Usando o blockchain Solana como um resolvedor de dead drop, armazenando endereços de servidores C2 nos campos de memorando de transações blockchain
Consultando a rede ponto a ponto da tabela de hash distribuída (DHT) do BitTorrent para recuperar dados de configuração
Empregando o Google Agenda como um ponto morto para buscar o endereço do servidor C2 dos títulos dos eventos
Conectando-se diretamente à infraestrutura C2 hospedada em provedores comerciais de VPS
“A combinação de blockchain, peer-to-peer e serviços web legítimos como camadas de resolução foi projetada para ser resiliente contra quedas – uma frente dinâmica que protege os servidores C2 reais por trás de múltiplas camadas de indireção”, disse CrowdStrike.
Como resultado da remoção, todos os quatro canais foram neutralizados simultaneamente num esforço coordenado para que as máquinas infectadas não possam mais receber novas instruções ou cargas úteis.
Descrevendo os operadores do GlassWorm como “com bons recursos e persistentes”, a empresa de segurança cibernética atribuiu a atividade a prováveis cibercriminosos baseados na Rússia, uma vez que o malware encerra a execução em sistemas localizados nos países da Comunidade de Estados Independentes (CEI) e contém comentários em russo.
“A cadeia de fornecimento de software continua sendo uma das superfícies de ataque mais importantes na computação moderna”, concluiu CrowdStrike. “Os adversários estão transformando as dependências de uma organização em ferramentas, atualizações e bibliotecas em mecanismos de entrega armados e multiplicadores de força”.
"A barreira para envenenar um pacote ou extensão é baixa; o raio potencial de explosão é enorme. Enquanto os ambientes de desenvolvimento, pipelines de construção e repositórios de código permanecerem subprotegidos, toda organização que consome software herdará o risco de todos que o produzem. O GlassWorm demonstra que os invasores sabem disso e estão investindo em infraestrutura resiliente para manter acesso persistente aos ecossistemas de desenvolvedores."
“Desde pelo menos o início de 2025, os operadores do GlassWorm têm como alvo sistemático os desenvolvedores de software, uma população com acesso a repositórios de código-fonte, plataformas em nuvem, pipelines de CI/CD e registros de pacotes”, disse CrowdStrike.
O desenvolvimento ocorre no momento em que os desenvolvedores se tornam alvos cada vez mais lucrativos para realizar ataques à cadeia de fornecimento de software, permitindo que os invasores aproveitem uma única estação de trabalho comprometida para impactar milhares de organizações e usuários downstream de uma só vez.
GlassWorm, desde seu surgimento no ano passado, conduziu uma “campanha multifacetada” usando extensões trojanizadas do VS Code publicadas no Microsoft VS Code Marketplace e no Open VSX, tornando assim possível atingir usuários de garfos do VS Code como Cursor, Positron, Windsurf e VSCodium.
A campanha também é conhecida por ter introduzido código malicioso por meio de pacotes npm e Python comprometidos. O objetivo final dos ataques é fornecer uma estrutura de roubo de dados com coleta de credenciais, exfiltração de carteiras de criptomoedas e recursos de criação de perfis de sistema.
Descobriu-se que iterações subsequentes do GlassWorm implantam um RAT JavaScript baseado em Websocket chamado GlassWormRAT para roubar dados do navegador da web e executar código arbitrário, incluindo a instalação de uma extensão do Google Chrome que, por sua vez, coleta dados confidenciais, incluindo capturas de tela, pressionamentos de teclas e conteúdo da área de transferência, do sistema infectado.
“Uma vez ativo, o malware procura credenciais de desenvolvedor no host (GitHub, NPM, tokens OpenVSX, carteiras criptográficas), permitindo maior comprometimento de repositórios e uploads de pacotes”, disse Kiran Raj, pesquisador do Endor Labs.
"Os hosts infectados são convertidos em infraestrutura secreta: proxies SOCKS, servidores VNC ocultos (HVNC) e nós de execução remota (via WebRTC ou processos Node.js gerados). Isso dá aos invasores acesso anônimo à rede em redes corporativas e pessoais e uma plataforma para se propagar ainda mais."
Cumulativamente, a atividade maliciosa teria envenenado mais de 300 repositórios GitHub usando credenciais de desenvolvedor roubadas. O que tornou a operação notável foi o uso de quatro canais C2 distintos para melhorar a resiliência -
Usando o blockchain Solana como um resolvedor de dead drop, armazenando endereços de servidores C2 nos campos de memorando de transações blockchain
Consultando a rede ponto a ponto da tabela de hash distribuída (DHT) do BitTorrent para recuperar dados de configuração
Empregando o Google Agenda como um ponto morto para buscar o endereço do servidor C2 dos títulos dos eventos
Conectando-se diretamente à infraestrutura C2 hospedada em provedores comerciais de VPS
“A combinação de blockchain, peer-to-peer e serviços web legítimos como camadas de resolução foi projetada para ser resiliente contra quedas – uma frente dinâmica que protege os servidores C2 reais por trás de múltiplas camadas de indireção”, disse CrowdStrike.
Como resultado da remoção, todos os quatro canais foram neutralizados simultaneamente num esforço coordenado para que as máquinas infectadas não possam mais receber novas instruções ou cargas úteis.
Descrevendo os operadores do GlassWorm como “com bons recursos e persistentes”, a empresa de segurança cibernética atribuiu a atividade a prováveis cibercriminosos baseados na Rússia, uma vez que o malware encerra a execução em sistemas localizados nos países da Comunidade de Estados Independentes (CEI) e contém comentários em russo.
“A cadeia de fornecimento de software continua sendo uma das superfícies de ataque mais importantes na computação moderna”, concluiu CrowdStrike. “Os adversários estão transformando as dependências de uma organização em ferramentas, atualizações e bibliotecas em mecanismos de entrega armados e multiplicadores de força”.
"A barreira para envenenar um pacote ou extensão é baixa; o raio potencial de explosão é enorme. Enquanto os ambientes de desenvolvimento, pipelines de construção e repositórios de código permanecerem subprotegidos, toda organização que consome software herdará o risco de todos que o produzem. O GlassWorm demonstra que os invasores sabem disso e estão investindo em infraestrutura resiliente para manter acesso persistente aos ecossistemas de desenvolvedores."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #a #remoção #do #malware #glassworm #interrompe #a #infraestrutura #de #ataque #à #cadeia #de #suprimentos #do #desenvolvedor
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário