Исследователи кибербезопасности обнаружили значительную эволюцию в кампании вредоносного ПО GlassWorm, выявив десятки вредоносных расширений, использующих новые сложные методы уклонения. Это вредоносное ПО, известное своей устойчивостью и способностью красть данные, изменило свою стратегию, чтобы скрывать вредоносные нагрузки в легитимных зависимостях программного обеспечения и экосистемах расширений. Этот шаг представляет собой преднамеренную попытку обойти традиционные проверки безопасности, которые часто сосредоточены на основном исполняемом файле приложения, что позволяет угрозе оставаться незамеченной в течение длительного времени.
Новые варианты GlassWorm используют технику, известную как «путаница зависимостей» или «маскировка под библиотеки/пакеты». Создавая вредоносные пакеты с именами, идентичными популярным легитимным внутренним зависимостям, используемым целевыми организациями, злоумышленники обманывают системы сборки и разработчиков, заставляя их загружать и выполнять вредоносный код. Кроме того, авторы вредоносного ПО создают вредоносные расширения и плагины для браузеров, которые выглядят безобидными при статическом анализе. Эти расширения часто используют сложную обфускацию, отложенные триггеры выполнения и связь с командными серверами, замаскированную под обычный аналитический трафик, что чрезвычайно затрудняет их обнаружение средствами защиты конечных точек и мониторинга сети.
Эта эволюция представляет серьезную угрозу для безопасности цепочки поставок программного обеспечения. Организации, которые полагаются на публичные репозитории пакетов, такие как npm, PyPI или NuGet, или имеют внутренние системы управления зависимостями, особенно уязвимы. Атака демонстрирует, как компрометация в жизненном цикле разработки программного обеспечения — от сторонних библиотек до надстроек браузера — может привести к полномасштабному нарушению безопасности сети. После установки GlassWorm способен красть учетные данные, извлекать конфиденциальные документы и предоставлять бэкдор для дальнейшего перемещения внутри сети и развертывания программ-вымогателей.
Для снижения этого риска командам безопасности необходимо применять многоуровневую стратегию защиты. Это включает внедрение строгого анализа состава программного обеспечения для проверки всех зависимостей, принудительное использование цифровой подписи кода и проверки целостности для внутренних пакетов, а также мониторинг сетевого трафика на предмет аномалий, даже исходящих из доверенных служб. Разработчиков следует обучать рискам в цепочке поставок и соблюдению принципа наименьших привилегий при доступе к репозиториям пакетов. В конечном счете, случай эволюции GlassWorm подчеркивает критическую необходимость подхода «нулевого доверия» к источникам программного обеспечения, когда ни один компонент, каким бы маленьким или легитимным он ни казался, не считается доверенным без тщательной проверки.
