Nytt GlassWorm-angrep sprer skadevare via kompromitterte GitHub-repoer

En ny utgave av skadevaren GlassWorm sprer seg nå gjennom hundrevis av kompromitterte kodeprosjekter på GitHub, forteller The Hacker News.

GlassWare er ikke et enkelt virus, men heller en kampanje av malware-angrep som retter seg mot utviklere. Målet er ofte å stjele credentials, tømme kryptolommebøker eller bruke maskinen din som en bot. 

Angrepet utnytter stjålne tilgangstokens for å legge inn skjult skadevare direkte i Python-repositorier.

Ifølge sikkerhetsselskapet StepSecurity kan utviklere bli infisert dersom de installerer eller kjører kode fra berørte prosjekter.

Injiserer skadevare uten synlige spor

Angrepet, som har fått navnet ForceMemo, retter seg mot Python-prosjekter som:

• Django-applikasjoner

• maskinlæringskode

• Streamlit-dashboards

• pakker publisert via PyPI

Digert angrep: Shai-Hulud stjeler hemmelig­hetene dine

– Umiddelbar etterforskning er anbefalt for alle npm-baserte miljøer, skriver Wiz om Shai-Hulud-angrepet.

Angriperne får først tilgang til utviklerkontoer, blant annet via ondsinnede utvidelser i utviklerverktøy. Deretter bruker de stjålne tokens til å gjøre såkalte force push-endringer i repoene, forteller The Hacker News.

Metoden gjør det mulig å:

• legge til ondsinnet kode i filer som setup.py, main.py og app.py

• beholde original commit-historikk, forfatter og tidsstempel

• unngå pull requests og synlige endringer i GitHub-grensesnittet

Dette gjør angrepet spesielt vanskelig å oppdage.

Henter skadevare via kryptonettverk

Den skjulte koden er obfuskert og base64-kodet. Når den kjøres, gjør den blant annet følgende:

• hopper over systemer satt til russisk språk

• henter en URL til nytt skadevarepayload via en Solana-wallet

• laster ned og kjører videre skadevare i minnet

Den videre skadevaren kan stjele kryptovaluta, data og annen sensitiv informasjon.

Del av større kampanje

Flere sikkerhetsselskaper, inkludert Socket og Aikido Security, knytter angrepet til tidligere GlassWorm-aktivitet.

Ga beskjed til 70 utviklere etter Shai Hulud 2.0: «Stopp alt»

– Hvis det er én ting denne hendelsen gjorde tydelig, er det hvor viktig det er at organisasjoner har moden kompetanse i Node-økosystemet, skriver Åsmund Røst Wien.

Over 150 GitHub-repositorier skal allerede være kompromittert i tidligere bølger, blant annet ved hjelp av skjult kode basert på usynlige Unicode-tegn.

I tillegg er to npm-pakker for React Native kortvarig kompromittert og brukt til å distribuere skadevare direkte via pakkeinstallasjon.

Vanskelig å oppdage og stoppe

Det som gjør denne kampanjen spesielt alvorlig, er kombinasjonen av flere teknikker:

• stjålne utviklertokens

• manipulering av git-historikk

• kjøring av skadevare kun i minnet (uten filer på disk)

• bruk av blokkjededata for å skjule kommandoer

Ifølge StepSecurity er dette første gang en kjent leverandørkjede-attack bruker force push på denne måten for å skjule angrep.

Sikkerhetseksperter anbefaler nå at utviklere:

• roterer og beskytter API-tokens

• unngår å kjøre ukjent kode uten gjennomgang

• overvåker endringer i egne repositorier nøye

Angrepet illustrerer hvordan trusselaktører i økende grad retter seg mot utviklere og programvareforsyningskjeden – og hvor vanskelig slike angrep kan være å oppdage i praksis.

Kapret npm-pakker med milliarder av nedlastinger

Hackere har gjennom et phishingangrep klart å injisere skadevare i et stort antall npm-pakker med totalt 2 milliarder ukentlige nedlastinger.