Um novo e sofisticado ataque à cadeia de abastecimento, batizado de “GlassWorm”, está a visar programadores nos marketplaces OpenVSX e Microsoft Visual Studio. Este malware auto-propagável já foi instalado umas estimadas 35.800 vezes, utilizando um método engenhoso para passar despercebido.
O GlassWorm esconde o seu código malicioso através do uso de caracteres Unicode invisíveis, uma técnica que faz com que o código desapareça literalmente dos editores. Uma vez instalado, o seu objetivo é roubar credenciais de contas GitHub, npm e OpenVSX, bem como dados de carteiras de criptomoedas de 49 extensões específicas.
Um arsenal de técnicas para evasão e controlo
A sofisticação do GlassWorm não se fica pelo seu código invisível. Os operadores do malware utilizam a blockchain Solana para o seu sistema de comando e controlo (C2), o que torna a sua desativação extremamente difícil. As transações na blockchain contêm links codificados em base64 que descarregam os payloads seguintes.
Segundo os investigadores da empresa de segurança de endpoint Koi Security, o payload final, apelidado de ZOMBI, é um código JavaScript altamente ofuscado que transforma as estações de trabalho dos developers infetados em nós de uma infraestrutura criminosa. Como métodos de recurso, o malware utiliza o título de um evento no Google Calendar, que contém um URL codificado, ou uma ligação direta a um endereço IP.
Para além de roubar dados, o GlassWorm instala um proxy SOCKS para encaminhar tráfego malicioso através da máquina da vítima e clientes VNC para acesso remoto invisível.
A ameaça silenciosa da auto-propagação
O que torna este ataque particularmente perigoso é a sua capacidade de se espalhar autonomamente. As extensões do VS Code atualizam-se automaticamente. Isto significa que, quando uma extensão foi comprometida, todos os utilizadores que a tinham instalada foram infetados de forma silenciosa e automática, sem qualquer interação ou aviso.
Os investigadores identificaram pelo menos onze extensões infetadas no OpenVSX e uma no VS Code Marketplace da Microsoft:
codejoy.codejoy-vscode-extension@1.8.3 e 1.8.4
l-igh-t.vscode-theme-seti-folder@1.2.3
kleinesfilmroellchen.serenity-dsl-syntaxhighlight@0.3.2
JScearcy.rust-doc-viewer@4.2.1
SIRILMP.dark-theme-sm@3.11.4
CodeInKlingon.git-worktree-menu@1.0.9 e 1.0.91
ginfuru.better-nunjucks@0.3.2
ellacrity.recoil@0.7.4
grrrck.positron-plus-1-e@0.0.71
jeronimoekerdt.color-picker-universal@2.8.91
srcery-colors.srcery-colors@0.3.9
cline-ai-main.cline-ai-agent@3.1.3 (Microsoft VS Code)
Após o alerta dos investigadores, a Microsoft removeu a extensão maliciosa da sua loja. Os editores de vscode-theme-seti-folder e git-worktree-menu também já limparam o código. No entanto, à data da publicação do relatório original, várias das extensões comprometidas ainda estavam disponíveis para download no OpenVSX.
A Koi Security descreve o GlassWorm como "um dos ataques à cadeia de abastecimento mais sofisticados" e o primeiro caso documentado de um ataque do tipo worm no VS Code, alertando que os servidores de C2 e de payloads permanecem ativos.
Nenhum comentário
Seja o primeiro!