មេរោគ GlassWorm v2

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការព្យាបាទទ្រង់ទ្រាយធំមួយដែលពាក់ព័ន្ធនឹងផ្នែកបន្ថែម Microsoft Visual Studio Code (VS Code) រាប់សិបដែលបង្ហោះនៅលើឃ្លាំង Open VSX។ ប្រតិបត្តិការនេះ ដែលត្រូវបានតាមដានថាជា GlassWorm ផ្តោតលើការលួចព័ត៌មានរសើបពីអ្នកអភិវឌ្ឍន៍ និងធ្វើឱ្យខូចដល់បរិស្ថានអភិវឌ្ឍន៍។

ក្រុមអ្នកស៊ើបអង្កេតបានរកឃើញផ្នែកបន្ថែមគួរឱ្យសង្ស័យចំនួន 73 ដែលធ្វើត្រាប់តាមឧបករណ៍ស្របច្បាប់។ ក្នុងចំណោមនោះ មានប្រាំមួយត្រូវបានផ្ទៀងផ្ទាត់ថាមានគ្រោះថ្នាក់ ខណៈពេលដែលផ្នែកដែលនៅសល់ហាក់ដូចជាដំណើរការជាកញ្ចប់ 'ដេកលក់' ដែលត្រូវបានរចនាឡើងដើម្បីទទួលបានទំនុកចិត្តពីអ្នកប្រើប្រាស់ មុនពេលត្រូវបានប្រើប្រាស់តាមរយៈការអាប់ដេត។

ផ្នែកបន្ថែមទាំងអស់ដែលត្រូវបានកំណត់អត្តសញ្ញាណត្រូវបានផ្ទុកឡើងនៅដើមខែមេសា ឆ្នាំ២០២៦។ ចាប់តាំងពីថ្ងៃទី២១ ខែធ្នូ ឆ្នាំ២០២៥ អ្នកស្រាវជ្រាវបានភ្ជាប់វត្ថុបុរាណដែលមានគំនិតអាក្រក់ជាង ៣២០ ទៅនឹងហេដ្ឋារចនាសម្ព័ន្ធ GlassWorm ដែលទូលំទូលាយជាង។

កម្មវិធីបន្ថែមព្យាបាទដែលបានបញ្ជាក់

ផ្នែកបន្ថែម Open VSX ខាងក្រោមត្រូវបានបញ្ជាក់ថាបង្កគ្រោះថ្នាក់៖

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-កូដ-ផ្ទៀងផ្ទាត់
• ឧបករណ៍កែវភ្នែក Winnerdomain17.version

វិស្វកម្មសង្គមតាមរយៈកញ្ចប់ដែលបានក្លូន

កម្មវិធីបន្ថែម sleeper ជាច្រើនធ្វើត្រាប់តាមកញ្ចប់ដែលគួរឱ្យទុកចិត្តយ៉ាងជិតស្និទ្ធតាមរយៈយុទ្ធសាស្ត្រ typosquatting។ ឧទាហរណ៍ អ្នកវាយប្រហារបានប្រើការដាក់ឈ្មោះបោកបញ្ឆោតដូចជា CEINTL.vscode-language-pack-tr ទល់នឹង Emotionkyoseparate.turkish-language-pack ស្របច្បាប់។

ដើម្បីពង្រឹងភាពជឿជាក់ ផ្នែកបន្ថែមក្លែងក្លាយទាំងនេះក៏បានចម្លងរូបតំណាង និងការពិពណ៌នាដើមផងដែរ។ យុទ្ធសាស្ត្រ 'ទំនុកចិត្តដែលមើលឃើញ' នេះជួយអ្នកវាយប្រហារបង្កើនចំនួនដំឡើងដោយធម្មជាតិ ដោយធ្វើឱ្យកញ្ចប់មើលទៅហាក់ដូចជាត្រឹមត្រូវ និងមានសុវត្ថិភាព។

អ្នកវាយប្រហារប្តូរទៅបច្ចេកទេសចែកចាយដែលលួចលាក់ជាងមុន

ក្រុមអ្នកស្រាវជ្រាវរាយការណ៍ថា ប្រតិបត្តិករ GlassWorm កំពុងកែលម្អវិធីសាស្រ្តរបស់ពួកគេយ៉ាងសកម្ម ដើម្បីជៀសវាងការរកឃើញ។ ជំនួសឲ្យការដាក់ពង្រាយមេរោគភ្លាមៗ ពួកគេឥឡូវនេះពឹងផ្អែកលើកញ្ចប់ sleeper និងការពឹងផ្អែកអន្តរកាលដែលលាក់កំបាំង ដែលអាចធ្វើឱ្យសកម្មនៅពេលក្រោយ។

យុទ្ធនាការនេះក៏ប្រើ Zig-based droppers ដើម្បីដំឡើងផ្នែកបន្ថែម VSIX ព្យាបាទទីពីរដែលបង្ហោះនៅលើ GitHub។ នៅពេលដែលត្រូវបានប្រតិបត្តិ កម្មវិធីផ្ទុកទិន្នន័យអាចចែកចាយ payload ឆ្លងកាត់បរិស្ថានអភិវឌ្ឍន៍រួមបញ្ចូលគ្នា (IDE) ជាច្រើនដែលបានដំឡើងនៅលើប្រព័ន្ធតែមួយ។

IDE ច្រើន​កំពុង​ប្រឈម​នឹង​ហានិភ័យ

មេរោគ​នេះ​មាន​សមត្ថភាព​ក្នុង​ការ​កំណត់​អត្តសញ្ញាណ និង​ឆ្លង​មេរោគ​ទៅ​កាន់​វេទិកា​អ្នក​អភិវឌ្ឍន៍​ជាច្រើន​តាមរយៈ​ពាក្យបញ្ជា --install-extension រួមមាន៖

• កូដ Microsoft VS
• ទស្សន៍ទ្រនិច
• ជិះស្គីលើទឹកដោយខ្យល់
• វីអេសស៊ីដូម

បន្ទុកចុងក្រោយត្រូវបានរចនាឡើងសម្រាប់ការលួចទិន្នន័យ និងការបញ្ជាពីចម្ងាយ

ដោយមិនគិតពីផ្លូវឆ្លងដំបូងឡើយ គោលបំណងចុងក្រោយនៅតែស៊ីសង្វាក់គ្នា។ មេរោគនេះត្រូវបានរចនាឡើងដើម្បីជៀសវាងប្រព័ន្ធដែលមានទីតាំងនៅប្រទេសរុស្ស៊ី ប្រមូលព័ត៌មានរសើប ដាក់ពង្រាយមេរោគ Trojan ចូលប្រើពីចម្ងាយ (RAT) និងដំឡើងផ្នែកបន្ថែមកម្មវិធីរុករកដែលមានមូលដ្ឋានលើ Chromium ដោយសម្ងាត់។

ផ្នែកបន្ថែមកម្មវិធីរុករកនោះអាចចាប់យកព័ត៌មានសម្គាល់ ចំណាំ និងទិន្នន័យដែលបានរក្សាទុកបន្ថែម។ នៅក្នុងវ៉ារ្យ៉ង់មួយចំនួន យន្តការចែកចាយត្រូវបានលាក់នៅក្នុង JavaScript ដែលបិទបាំង ដែលផ្នែកបន្ថែមនេះដើរតួជាឧបករណ៍ផ្ទុកទិន្នន័យ ខណៈពេលដែលបន្ទុកទិន្នន័យពិតប្រាកដត្រូវបានទាញយក និងប្រតិបត្តិបន្ទាប់ពីការធ្វើឱ្យសកម្ម។