قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار GlassWorm v2 Malware

GlassWorm v2 Malware

تا Mezo در بدافزار, دزدان
ترجمه به:

محققان امنیت سایبری یک کمپین مخرب در مقیاس بزرگ را کشف کرده‌اند که شامل ده‌ها افزونه‌ی مایکروسافت ویژوال استودیو کد (VS Code) است که در مخزن Open VSX میزبانی می‌شوند. این عملیات که با نام GlassWorm ردیابی می‌شود، بر سرقت اطلاعات حساس از توسعه‌دهندگان و به خطر انداختن محیط‌های توسعه متمرکز است.

محققان ۷۳ افزونه مشکوک را کشف کردند که از ابزارهای قانونی تقلید می‌کردند. در میان آنها، شش مورد به عنوان مخرب تأیید شده‌اند، در حالی که به نظر می‌رسد بقیه به عنوان بسته‌های غیرفعال «sleeper» عمل می‌کنند که برای جلب اعتماد کاربر قبل از اینکه بعداً از طریق به‌روزرسانی‌ها به عنوان سلاح استفاده شوند، طراحی شده‌اند.

تمام افزونه‌های شناسایی‌شده در اوایل آوریل ۲۰۲۶ آپلود شده‌اند. از ۲۱ دسامبر ۲۰۲۵، محققان بیش از ۳۲۰ اثر مخرب را به زیرساخت گسترده‌تر GlassWorm مرتبط دانسته‌اند.

افزونه‌های مخرب تأیید شده

افزونه‌های Open VSX زیر به عنوان افزونه‌های مضر تأیید شده‌اند:

  • قالب تک رنگ outsidestormcommand
  • keyacrosslaud.auto-loop-for-antigravity
  • هاب سریع krundoven.ironplc
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • Winnerdomain17.version-lens-tool

مهندسی اجتماعی از طریق بسته‌های شبیه‌سازی‌شده

بسیاری از افزونه‌های غیرفعال، بسته‌های معتبر را از طریق تاکتیک‌های typosquatting تقلید می‌کنند. برای مثال، مهاجمان از نامگذاری‌های فریبنده‌ای مانند CEINTL.vscode-language-pack-tr در مقابل Emotionkyoseparate.turkish-language-pack مشروع استفاده کردند.

برای تقویت اعتبار، این افزونه‌های جعلی، آیکون‌ها و توضیحات اصلی را نیز کپی می‌کردند. این استراتژی «اعتماد بصری» به مهاجمان کمک می‌کند تا با واقعی و ایمن جلوه دادن بسته‌ها، تعداد نصب‌ها را به طور طبیعی افزایش دهند.

مهاجمان به تکنیک‌های ارسال مخفیانه‌تر روی می‌آورند

محققان گزارش می‌دهند که اپراتورهای GlassWorm به طور فعال روش‌های خود را برای جلوگیری از شناسایی اصلاح می‌کنند. آنها به جای استقرار فوری بدافزار، اکنون به بسته‌های خواب‌آور و وابستگی‌های انتقالی پنهانی متکی هستند که می‌توانند بعداً فعال شوند.

این کمپین همچنین از دراپرهای مبتنی بر Zig برای نصب یک افزونه‌ی مخرب VSIX دوم که در GitHub میزبانی می‌شود، استفاده می‌کند. پس از اجرا، این لودر می‌تواند بار داده را در چندین محیط توسعه‌ی یکپارچه (IDE) نصب شده روی همان سیستم پخش کند.

چندین IDE در معرض خطر

این بدافزار قادر است از طریق دستور --install-extension چندین پلتفرم توسعه‌دهنده را شناسایی و آلوده کند، از جمله:

  • مایکروسافت در مقابل کد
  • مکان نما
  • موج‌سواری
  • وی اس سدیم

بار داده نهایی طراحی شده برای سرقت داده‌ها و کنترل از راه دور

صرف نظر از مسیر اولیه آلودگی، هدف نهایی ثابت می‌ماند. این بدافزار به گونه‌ای مهندسی شده است که از سیستم‌های مستقر در روسیه دوری کند، اطلاعات حساس را جمع‌آوری کند، یک تروجان دسترسی از راه دور (RAT) را مستقر کند و مخفیانه یک افزونه مرورگر مبتنی بر کرومیوم مخرب نصب کند.

این افزونه مرورگر می‌تواند اطلاعات احراز هویت، بوکمارک‌ها و داده‌های ذخیره‌شده اضافی را ضبط کند. در برخی از انواع، مکانیسم تحویل در داخل جاوا اسکریپت مبهم پنهان شده است، جایی که افزونه فقط به عنوان یک بارگذار عمل می‌کند در حالی که بار داده واقعی پس از فعال‌سازی دانلود و اجرا می‌شود.

پرطرفدار

Orionnero.co.in

وب سایت های سرکش, ابزارهای تبلیغاتی مزاحم, ربایندگان مرورگر
احتیاط در هنگام مرور وب دیگر اختیاری نیست. ضروری است. وب‌سایت‌های سرکش به طور فزاینده‌ای پیچیده شده‌اند و اغلب با تکیه بر تاکتیک‌های فریبنده، کاربران را برای به خطر انداختن امنیت خود فریب می‌دهند....

پربیننده ترین

بارگذاری...