СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

GlassWorm: Unicode‑обфускация и Solana C2 в атаках цепочки поставок

Исследователи безопасности обнаружили масштабную и скоординированную кибератаку, получившую название GlassWorm. По итогам расследований, кампания затронула более 430 репозиториев и пакетов на таких платформах, как GitHub, NPM, PyPI и VS Code marketplace, используя сложные методы обфускации и гибридную инфраструктуру управления.

Ключевые находки

  • Общее число пострадавших репозиториев и пакетов превышает 430.
  • По данным Aikido Security, атаки были направлены как минимум на 151 репозиторий GitHub и пакеты NPM.
  • Socket сообщил о 72 вредоносных расширениях в Open‑VSX marketplace, связанных с GlassWorm.
  • Кампания ForceMemo от Step Security выявила сотни скомпрометированных Python‑репозиториев в результате захвата учетных записей и вредоносных коммитов.

Техника атак: Unicode‑обфускация и скрытый загрузчик

Злоумышленники применяют *селекторы вариантов Unicode* и другие Unicode‑приёмы для маскировки вредоносной полезной нагрузки внутри легитимных проектов. Такая обфускация делает зловред практически невидимым для большинства автоматизированных проверок и позволяет запускать вредоносный код в средах Node.js без детектирования.

Аналогичная тактика наблюдается в расширениях для VS Code: вредоносные расширения доставляют полезную нагрузку способом, имитирующим поведение пакетов NPM, что затрудняет их отличие от обычного функционала.

Инфраструктура управления (C2): гибридный подход с использованием блокчейна

Анализ показал, что кампания использует гибридную архитектуру C2, сочетающую традиционные загрузчики и транзакции в блокчейне Solana. Злоумышленники использовали жестко закодированный адрес Solana, который фигурирует в отчетах нескольких поставщиков — это указывает на единого оператора атак на разных платформах.

Использование блокчейна в роли канала управления отличается высокой устойчивостью: команды могут публиковаться в виде неизменяемых транзакций, которые жертвы считывают — это усложняет блокировку и вмешательство со стороны защитников.

Географические и операционные признаки

  • Исследования указывают на возможное российское происхождение истоков кампании: в коде обнаружены комментарии на русском языке и механизмы, предотвращающие выполнение в российских системах.
  • Злоумышленники демонстрировали оперативную безопасность, намеренно исключая российские системы из‑под своей атаки — поведение, часто ассоциируемое с восточноевропейскими киберпреступными группами.

Почему это опасно для supply chain ПО

Операционный метод GlassWorm подчёркивает изменение в тактиках атак на компоненты поставок: компрометация одного узла экосистемы может привести к заражению тысяч проектов. Масштабное использование обфускации и распределённых каналов C2 делает такие инциденты особенно серьёзными для разработчиков и организаций, зависящих от открытого ПО.

Рекомендации по защите

Анализ кампании указывает на необходимость координированных действий со стороны сообществ и поставщиков безопасности. В числе практических мер:

  • Укреплять обмен информацией об угрозах между поставщиками инструментов и площадок (кросс‑платформенное threat intelligence).
  • Внедрять дополнительные проверки при приёме пакетов и расширений: контроль необычных Unicode‑сочетаний, анализ нестандартных загрузчиков и инспекция зависимостей.
  • Усилить защиту учетных записей (MFA, мониторинг аномалий) чтобы снизить риск захвата репозиториев и вредоносных коммитов.
  • Разработчикам — регулярно сканировать репозитории на предмет подозрительных изменений и обращать внимание на нестандартные способы доставки кода.
  • Организовать совместные инициативы по мониторингу новых тенденций в поведении вредоносного ПО и оперативному реагированию на инциденты.

Вывод

Кампания GlassWorm демонстрирует, как злоумышленники переходят к сложным, мультиплатформенным и устойчивым методам управления вредоносным ПО. Комбинация Unicode‑обфускации и использования публичного блокчейна для C2 делает угрозу необычайно стойкой. Для защиты экосистемы ПО требуется координация между платформами, усиление процедур проверки кода и проактивный обмен информацией об угрозах — только так можно снизить риски для supply chain разработок.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: