СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
05.12.2025
#ИБ

Glassworm: массовая подмена расширений на маркетплейсах

Недавние наблюдения указывают на возобновление кибератак, связанных с Glassworm, — атакующие активизировались в праздничный период и вновь использовали проверенные механизмы компрометации расширений. Исследователи безопасности выявили тревожную тенденцию: 23 расширения, замаскированные под законные аналоги, были намеренно опубликованы на code marketplaces и демонстрируют поведение, характерное для атак на цепочку поставок ПО.

Ключевые факты

  • В общей сложности отслеживаются 23 подозрительных расширения, часть из которых уже содержит внедрённые вредоносные полезные нагрузки.
  • Расширения публиковались как легитимные аналоги популярных продуктов, чтобы получить первоначальное одобрение модерации.
  • После утверждения злоумышленники заменяют исходный код или используют механизм обновления для доставки вредоносного кода.
  • Активация вредоносной полезной нагрузки зачастую зависит от контекста и происходит сразу после фазы активации, что затрудняет обнаружение на ранних этапах.
  • Некоторые злоумышленники манипулируют статистикой загрузок, чтобы повысить доверие и увеличить распространение расширений.
  • Часть расширений уже удалена с marketplace, однако лёгкость повторной публикации указывает на системную проблему с контролем и модерацией.

Как работает атака

Атака строится на манипуляции жизненным циклом расширения. Злоумышленники проходят стадию публикации с безвредным кодом, получают одобрение модерации, а затем инициируют обновление, которое подменяет легальный код на вредоносный. Такой подход позволяет обойти статические сигнатуры и многие автоматические фильтры, ориентированные на проверку при первоначальной загрузке.

Ключевые технические моменты:

  • Использование механизмов обновления расширений для доставки payload после одобрения.
  • Активация payload в специфичных условиях (context activation), чтобы избежать детектирования в тестовой среде.
  • Манипуляции с метриками (downloads, рейтинг), повышающие доверие пользователей и ускоряющие распространение.

Почему это особенно опасно

Тактика демонстрирует высокую степень скрытности и устойчивости к стандартным средствам защиты. Даже при наличии сигнатур и правил обнаружения злоумышленники находятся в выигрыше, если они способны менять код после модерации. Последствия включают:

  • массовую компрометацию конечных пользователей и организаций;
  • длительную латентность вредоносной активности до момента обнаружения;
  • искажение доверия к платформам распространения расширений.

«Эта тактика демонстрирует способность злоумышленников манипулировать жизненным циклом расширения, чтобы скомпрометировать пользовательские системы без немедленного обнаружения», — отмечают исследователи.

Действия платформ и текущие ограничения

Часть обнаруженных расширений была удалена с marketplace, однако повторная публикация остаётся простой процедурой для злоумышленников. Это указывает на проблемы в следующих областях:

  • процедуры верификации издателей и контроля изменений в опубликованном коде;
  • недостаточная интеграция динамического анализа и мониторинга post-approval изменений;
  • отсутствие эффективных мер против манипуляций с метриками и репутацией.

Рекомендации для снижения рисков

Чтобы ограничить воздействие кампаний типа Glassworm, необходима комбинация организационных и технических мер:

  • Для платформ (code marketplaces и marketplace):
    • ввести обязательную верификацию издателя (организация/индивидуальный разработчик), многофакторную аутентификацию и проверку происхождения изменений;
    • внедрить постоянный мониторинг изменений кода и автоматические алерты при появлении post-approval commits или необычных обновлений;
    • использовать static + dynamic analysis, sandboxing и behavioral detection для обновлений;
    • ограничивать и проверять механизмы обновлений (подпись обновлений, блокировка автоматических апдейтов до прохождения проверок).
  • Для корпоративных команд SecOps и разработчиков:
    • внедрить белые списки и контроль расширений в корпоративной среде;
    • использовать EDR/endpoint security с мониторингом подозрительных вызовов и network indicators;
    • регулярно проверять зависимости и расширения на предмет изменения хешей и поведения;
    • обучать сотрудников и пользователей вопросам безопасного использования расширений и признакам фишинга/манипулирования репутацией.
  • Общие меры:
    • разработать и внедрить процессы быстрого отката и блокировки обновлений при обнаружении инцидентов;
    • создать механизмы прозрачной отчетности о модерации и инцидентах на платформах.

Вывод

Кампания Glassworm вновь подчёркивает уязвимость экосистем распространения расширений: злоумышленники успешно эксплуатируют сочетание административных слабостей и технических пробелов. Для защиты пользователей и корпоративных сред необходима координация между площадками, производителями средств безопасности и конечными пользователями, а также внедрение более строгих контроля и современных методов детекции.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: