کمپین بدافزار GlassWorm که ماه گذشته بازارهای OpenVSX و Visual Studio Code را هدف قرار داده بود، با سه افزونهٔ جدید VSCode دوباره فعال شده است. این سه افزونه تاکنون بیش از ۱۰٬۰۰۰ بار دانلود شدهاند و طبق بررسیها هنوز در OpenVSX قابل دانلود هستند.
GlassWorm چیست؟
GlassWorm یک کمپین و خانوادهٔ بدافزاری است که از تراکنشهای Solana برای فراخوانی payload استفاده میکند و هدف اصلی آن بهدستآوردن اعتبارنامههای حسابهای GitHub، NPM و OpenVSX و همچنین دادههای کیفپولهای رمزارزی است. این بدافزار قبلاً از ۴۹ افزونهٔ آلوده اطلاعات کیفپول و توکنها را استخراج میکرد.
بدافزار GlassWorm چطور کار میکند؟
مهاجمان از کاراکترهای نامرئی یونیکد (invisible Unicode) استفاده میکنند — این کاراکترها بهصورت ظاهری خالی نمایش داده میشوند اما در عمل بهعنوان JavaScript اجرا شده و رفتار مخرب را فعال میکنند. این تکنیکِ مبهمسازی (obfuscation) توانسته از دفاعهای OpenVSX عبور کند.
تاریخچهٔ موج قبلی
در موج قبلی، ۱۲ افزونه در VS Code و OpenVSX منتشر شد که مجموعاً حدود ۳۵٬۸۰۰ دانلود داشتند. فرض بر این است که بخش قابلتوجهی از شمار دانلودها توسط مهاجمین دستکاری (inflated) شده تا افزونهها در نتایج جستجو معتبرتر بهنظر برسند. پس از افشا، OpenVSX توکنهای دسترسی (access tokens) تعدادی از حسابهای تحتنفوذ را چرخاند، تدابیر امنیتی اضافه کرد و آن حادثه را بست.
بازگشت GlassWorm — سه افزونهٔ جدید در OpenVSX
Koi Security که این کمپین را دنبال میکند گزارش داده مهاجمین بار دیگر به OpenVSX بازگشتهاند، با همان زیرساخت اما C2 و تراکنشهای Solana بهروز شده. سه افزونهٔ جدید شامل:
ai-driven-dev.ai-driven-dev— 3,400 دانلودadhamu.history-in-sublime-merge— 4,000 دانلودyasuyuky.transient-emacs— 2,400 دانلود
همهٔ اینها از همان ترفند کاراکتر نامرئی یونیکد برای مبهمسازی استفاده کردهاند و بهنظر میرسد دفاعهای جدید OpenVSX هنوز ناکافی است.
اطلاعات افشا شده از زیرساخت حمله
از طریق یک هانتر ناشناس، Koi Security به سرور مهاجم دسترسی یافته و دادههایی از قربانیان استخراج کرده است. دادهها حاکی از آلودگی سیستمها در ایالات متحده، آمریکای لاتین، اروپا، آسیا و یک نهاد دولتی در خاورمیانه است. تا کنون حداقل ۶۰ قربانی از یک endpoint افشاشده شناسایی شدهاند (لیست ناقص).
عامل تهدید و زیرساخت حمله
Koi گزارش کرده عاملان روسیزبان هستند و از فریمورک متنباز C2 بهنام RedExt برای کنترل مخرب استفاده میکنند. پژوهشگران دادههای بهدستآمده را به مراجع قانونی تحویل دادهاند و هماهنگی برای اطلاعرسانی به سازمانهای آسیبدیده در جریان است.
وضعیت فعلی
تا زمان نگارش این گزارش، سه افزونهٔ جدید همچنان در OpenVSX برای دانلود در دسترساند. بهدلیل ماهیت زنجیرهتأمین و پتانسیل استخراج کلیدها/توکنها، این کمپین تهدیدی جدی برای توسعهدهندگان و پروژههای متنباز محسوب میشود.
🔐 توصیههای فنی فوری (عملیاتی)
فورس به حذف: اگر افزونههای فوق یا هر افزونهٔ مشکوک دیگری نصب شدهاند، فورا آنها را حذف کنید و توکنهای مرتبط را باز نشانی (rotate) نمایید.
بازگردانی اعتبارنامهها: اعتبارنامههای GitHub/NPM/OpenVSX و کلیدهای کیفپول را فوراً ریست/ریاوتنتیکیت کنید.
بازرسی تصاویر/پکیجها: قبل از نصب، سورس افزونهها را بررسی کنید و به امضاء/ناشر توجه کنید.
محدودسازی سطح دسترسی: به افزونهها کمتر از حد لازم دسترسی بدهید؛ از least privilege استفاده کنید.
پایش و IOC: لاگهای نصب افزونه، دانلود و اجرای اسکریپتها را بررسی کنید و به دنبال patternهای یونیکد نامرئی و فراخوانی Solana RPC باشید.
تغییر توکنها: OpenVSX و سایر بازارها ممکن است توکنها را جایگشت داده باشند، ولی شما هم توکنهای محلی را rotate کنید.
اعلام به کاربران/مراجع: در صورت شناسایی آلودگی، بهموقع به تیمهای امنیتی اطلاع بدهید و با مراجع قانونی همکاری کنید.
خلاصه مدیریتی Vulnerbyte برای مدیران IT
کمپین GlassWorm بازگشته و از طریق سه افزونهٔ جدید OpenVSX تلاش به سرقت اعتبارنامهها و دادههای کیفپولهای رمزارزی کرده است؛ این بدافزار با استفاده از کاراکترهای نامرئی یونیکد JavaScript مخرب را پنهان میکند و از تراکنشهای Solana برای فراخوانی payload بهره میبرد. توصیه مدیریتی: فوراً بررسی نصب افزونهها در تیم توسعه/CI را انجام دهید، توکنها و کلیدهای محرمانه را rotate کنید، افزونههای مشکوک را حذف و دسترسیهای غیرضروری را قطع نمایید. همچنین به تیم امنیتی دستور دهید لاگهای مربوط به نصب/اجرا و فراخوانیهای RPC بلاکچین را فوراً تحلیل کنند.
