„Glassworm“ kampanija, kuri pirmą kartą pasirodė „OpenVSX“ ir „Microsoft Visual Studio“ prekyvietėse spalio mėn., dabar yra trečioji banga – abiejose platformose pridedami 24 nauji paketai.
„OpenVSX“ ir „Microsoft Visual Studio Marketplace“ yra su VS kodu suderinamų redaktorių plėtinių saugyklos, kurias kūrėjai naudoja kalbos palaikymui, sistemoms, įrankiams, temoms ir kitiems produktyvumo priedams įdiegti.
„Microsoft“ prekyvietė yra oficiali „Visual Studio Code“ platforma, o „OpenVSX“ yra atvira, pardavėjų atžvilgiu neutrali alternatyva, kurią naudoja redaktoriai, negalintys arba nenaudojantys „Microsoft“ patentuotos parduotuvės.
Pirmą kartą Koi Security dokumentavo spalio 20 d., Glassworm yra kenkėjiška programa, kuri naudoja „nematomus unikodo simbolius“, kad paslėptų savo kodą nuo peržiūros.
Kai kūrėjai ją įdiegia savo aplinkoje, ji bando pavogti GitHub, npm ir OpenVSX paskyras, taip pat kriptovaliutų piniginės duomenis iš 49 plėtinių.
Be to, kenkėjiška programa diegia SOCKS tarpinį serverį, kad nukreiptų kenkėjišką srautą per aukos įrenginį, ir įdiegia HVNC klientą, kad operatoriams suteiktų slaptą nuotolinę prieigą.
Nors pradinė infekcija buvo pašalinta iš plėtinių saugyklų, kenkėjiška programa netrukus grįžo į abi svetaines su naujais plėtiniais ir leidėjo paskyromis.
Prieš tai „Open VSX“ paskelbė, kad incidentas visiškai suskirstytas, o platforma suko pažeistus prieigos prieigos raktus.
„Glassworm“ atsiradimą atrado „Secure Annex“ tyrėjas Johnas Tuckneris, kuris praneša, kad paketų pavadinimai rodo plačią taikymo sritį, apimančią populiarius įrankius ir kūrėjų sistemas, tokias kaip „Flutter“, „Vim“, „Yaml“, „Tailwind“, „Svelte“, „React Native“ ir „Vue“.
Šaltinis: saugus priedas
Secure Annex dabar nustatė, kad trečioji banga naudoja toliau išvardytus paketus.
VS Marketplace
- iconkieftwo.icon-theme-materiall
- prisma-inc.prisma-studio-assistance
- gražesnė-vsc.vsce-gražiau
- flutcode.flatter-extension
- csvmech.csvrainbow
- codevsce.codeddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.cluster-code-verify
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extension
- solblanco. šviesus-vsce
- vsceue.fly-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-native-vsce
Atidarykite VSX
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-for-react
- flutcode.flatter-extension
- yamlcode.yaml-vscode-extension
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.tvirtumas
Kai paketai priimami prekyvietėse, leidėjai siunčia naujinimą, kuriame pateikiamas kenkėjiškas kodas, tada padidina atsisiuntimų skaičių, kad jie atrodytų teisėti ir patikimi.
Be to, dirbtinai padidinus atsisiuntimų skaičių, galima manipuliuoti paieškos rezultatais, o kenkėjiškas plėtinys rezultatuose pasirodo aukščiau, dažnai labai arti teisėtų projektų, kuriais jis apsimetinėja.
Šaltinis: saugus priedas
Tyrėjas praneša, kad Glassworm išsivystė ir iš techninės pusės – dabar naudojami rūdžių pagrindu pagaminti implantai, supakuoti plėtinių viduje. Nematomas Unicode triukas taip pat vis dar naudojamas kai kuriais atvejais.
Šaltinis: saugus priedas
„BleepingComputer“ susisiekė su „OpenVSX“ ir „Microsoft“ dėl „Glassworm“ nuolatinio gebėjimo apeiti savo gynybą, ir mes atnaujinsime šį įrašą su jų atsakymais, kai tik gausime.
Sugedęs IAM yra ne tik IT problema – poveikis skleidžiasi visame versle.
Šiame praktiniame vadove aprašoma, kodėl tradicinė IAM praktika neatitinka šiuolaikinių reikalavimų, pateikiami pavyzdžiai, kaip atrodo „geras“ IAM, ir paprastas kontrolinis sąrašas, kaip sukurti keičiamo dydžio strategiją.
