Güvenlik araştırmacıları, yeni bir kötü amaçlı yazılım solucanı kampanyasının, kötü amaçlı kodları hem gözden geçirenlerden hem de güvenlik araçlarından gizlemek için görünmez Unicode karakterleri kullanan birden fazla Microsoft Visual Studio Code uzantısına bulaştığını söylüyor.
Glassworm adlı solucan, 17 Ekim’de OpenVSX pazarındaki yedi uzantıyı tehlikeye atarak 10.700’den fazla indirmeye ulaştı.
Koi Security’deki araştırmacılar, risk motorlarının CodeJoy uzantısında anormal davranışlar tespit etmesinden sonra saldırıyı keşfettiler.
Bir solucan, kendini kopyalayarak yayılabilen, kendi kendini kopyalayan bilgisayar kodunu kullanır.
Koi, Glassworm’u şu ana kadar görülen en gelişmiş yazılım tedarik zinciri saldırılarından biri olarak tanımladı.
Solucan, yasal dosyalar içindeki kötü amaçlı kodları gizlemek için görünür şekilde görüntülenmeyen Unicode varyasyon seçicilerini kullanıyor.
Statik kod tarayıcıları şüpheli hiçbir şey görmez ve gerçek kişi olan incelemeciler yalnızca boş satırları görür.
Koi Güvenlik araştırmacısı “Bu teknik, geleneksel kod incelemesini tamamen bozuyor” Dardikman söylese. “Göremediğin şeyi göremezsin.”
GitHub’un fark görünümü ve sözdizimi vurgulaması bile herhangi bir değişikliği ortaya çıkaramadı ve virüs bulaşmış geliştiricilerin kötü amaçlı yazılım dağıttıklarından habersiz kalmasına neden oldu.
Glassworm, işlemleri komuta ve kontrol (C2) sistemi olarak kullanarak Solana blok zinciri aracılığıyla iletişim kurar.
Solucan, bir sonraki yükünü bulmak için blockchain işlem notlarının içine gizlenmiş base64 kodlu verileri okuyor.
Blockchain girişleri değiştirilemediği veya silinemediği için bu yapı, Koi’nin “öldürülemez altyapı” dediği şeyi oluşturur.
Ele geçirilecek bir sunucu ya da askıya alınacak bir etki alanı yok ve saldırganlar çok ucuza yeni işlemler göndererek komutlarını güncelleyebiliyor.
Koi, kötü amaçlı yazılımın doğrudan İnternet Protokolü adresleri ve Google Takvim etkinlikleri aracılığıyla başka bir şifreli veriye bağlantı sağlayan yedekleme kanallarını da koruduğunu keşfetti.
Dardikman, takvim trafiğinin yasal göründüğünü ve nadiren engellendiğini, bunun da saldırganlara güvenilir bir alternatif yol sağladığını açıkladı.
Solana bağlantılı yük sunucusu, müdahaleyi önlemek için HTTP üstbilgileri aracılığıyla dinamik olarak yayınlanan şifre çözme anahtarlarıyla AES şifreli bir dosya sunar.
Şifresi çözüldükten sonra kod, MetaMask ve Phantom gibi 49 kripto para birimi cüzdan uzantısının yanı sıra npm, GitHub, OpenVSX ve git’teki kimlik bilgilerini arar.
Bu kimlik bilgileri daha sonra otomatik yayılımı etkinleştirir.
Etkilenen her geliştirici hesabı, yeni kötü amaçlı uzantılar veya paketler yayınlayarak genişleyen bir güvenlik ağı oluşturabilir.
ZOMBI adı verilen ikincil bir modül, virüslü iş istasyonlarını suç ağı için proxy düğümlerine dönüştürüyor.
SOCKS proxy’lerini yükler, güvenlik duvarlarını aşmak için WebRTC’yi kullanır ve komutları BitTorrent’in merkezi olmayan karma tablosu üzerinden dağıtır.
Saldırganlar trafiği güvenilir geliştirici makineleri üzerinden yönlendirerek dahili sistemlere erişim sağlayabilir.
ZOMBI ayrıca saldırganların görünmez bir uzak masaüstünü çalıştırmasına olanak tanıyan gizli sanal ağ bilişimi veya HVNC’yi de içerir.
Görünür pencereler veya aktif işlemler olmadan çalışır ve kurbanın tarayıcısına, koduna ve iletişimlerine tam erişim sağlar.
Koi, Glassworm’un altyapısının aktif kaldığını doğruladığını söyledi.
Solana işlemi hala canlı bir veri yükü sunucusuna işaret ediyor, Google Takvim bağlantısı çalışıyor (iTNews bağlantıyı test ettim ve yazı yazıldığı an itibarıyla hala çalışır durumda) ve 140.82.52.31 adresindeki bir sızma adresi veri topluyor.
Bilinen yedi uzantıdan ikisi temizlendi, beşi ise virüslü sürümleri dağıtmaya devam ediyor.
Glassworm, bu yılın Eylül ayında 500 npm’den fazla pakete çarpan Shai-Hulud solucanını takip ediyor.
Koi, geliştiricilere yüklü uzantıları denetlemelerini ve açığa çıkan kimlik bilgilerini döndürmelerini tavsiye ediyor.
Güvenliği ihlal edilen uzantılar arasında codejoy.codejoy-vscode-extension, l-igh-t.vscode-theme-seti-folder, kleinesfilmroellchen.serenity-dsl-syntaxhighlight, JScearcy.rust-doc-viewer, SIRILMP.dark-theme-sm, CodeInKlingon.git-worktree-menu ve ginfuru.better-nunjucks.