Назад к блогу

Кампания GlassWorm расширяет масштабы атак через 72 вредоносных расширения Open VSX

3 мин. чтения1 просмотровИИ-генерацияуправление уязвимостямиоценка рисковуправление поверхностью атакиeasm

Кампания GlassWorm расширяет масштабы атак через десятки вредоносных расширений Open VSX

В последнее время исследователи из Socket Research Team сообщили о значительном расширении активности вредоносной кампании, которую они обозначили как GlassWorm. В рамках этой кампании злоумышленники используют десятки вредоносных расширений в экосистеме Open VSX. Вместо прямого внедрения вредоносного кода в одно расширение, злоумышленники применяют сложную цепочку транзитивных зависимостей, что позволяет им проникать в среды разработчиков более эффективно и незаметно. Подробнее об этом можно узнать в отчёте Socket Research Team источник.

Механизм атаки и особенности кампании GlassWorm

GlassWorm — так называет эту кампанию команда Socket Research Team, которая специализируется на анализе цепочек поставок программного обеспечения. В данном случае злоумышленники используют Open VSX — открытый каталог расширений для редакторов кода, таких как Visual Studio Code и его форки.

Основная особенность новой волны атак — использование транзитивных зависимостей. Злоумышленники внедряют вредоносный код не напрямую в расширение, а через цепочку зависимостей, например, через включение в расширения npm-пакетов с вредоносным функционалом, использование postinstall-скриптов или загрузку удалённых скриптов во время установки. Таким образом, начальное расширение, которое выглядит безобидным, зависит от другого расширения или пакета, и на последнем уровне цепочки активируется вредоносный код. Такой подход значительно усложняет обнаружение и блокировку угрозы, поскольку анализировать нужно не только отдельное расширение, но и всю цепочку зависимостей.

Исследователи из Socket Research Team зафиксировали десятки новых расширений, связанных с кампанией GlassWorm, что свидетельствует о масштабном и системном характере атаки. Эти расширения распространяются через Open VSX, что делает уязвимыми тысячи разработчиков и компании, использующие эти инструменты.

Почему это важно для организаций, управляющих внешней поверхностью атаки

Для организаций, которые активно развивают и поддерживают программное обеспечение, а также используют сторонние инструменты разработки, подобные атаки представляют серьезную угрозу. Расширения для IDE и редакторов кода широко применяются для повышения продуктивности, но они также могут стать вектором проникновения вредоносного ПО.

Транзитивные зависимости усложняют задачу безопасности, поскольку:

  • Злоумышленники могут маскировать вредоносный код в менее заметных компонентах.
  • Автоматические системы проверки безопасности часто не охватывают все уровни зависимостей.
  • Разработчики и команды безопасности могут не подозревать о наличии угрозы, если исходное расширение выглядит безопасным.

В результате атаки GlassWorm могут привести к компрометации рабочих станций разработчиков, утечке конфиденциальной информации, внедрению вредоносного кода в программные продукты и дальнейшему распространению угрозы внутри корпоративной сети.

Практические рекомендации для команд безопасности

Для минимизации рисков, связанных с подобными атаками, организациям следует:

  • Внедрять комплексный мониторинг зависимостей. Использовать инструменты, способные анализировать не только прямые, но и транзитивные зависимости расширений и библиотек.
  • Регулярно проверять репозитории расширений. Следить за обновлениями и отзывами, а также оперативно реагировать на сообщения о вредоносных компонентах.
  • Ограничивать использование сторонних расширений. Внедрять политики контроля и одобрения расширений, используемых в рабочих средах.
  • Автоматизировать сканирование безопасности. Интегрировать статический и динамический анализ кода в процессы CI/CD, чтобы выявлять подозрительные активности на ранних этапах.
  • Обучать разработчиков и сотрудников безопасности. Повышать осведомленность о рисках, связанных с цепочками поставок и транзитивными зависимостями.

Атаки через цепочки поставок и транзитивные зависимости становятся все более изощренными. Внимательное управление внешней поверхностью атаки и проактивный подход к безопасности помогут организациям снизить вероятность успешных компрометаций и защитить свои разработки и инфраструктуру.

Поделиться:TelegramVK

Похожие статьи

Злоумышленники используют уязвимость в Windows File Explorer и WebDAV для скрытой доставки вредоносного ПО

1 мар. 20263 мин. чтения2
вредоносное поуправление уязвимостямиуправление поверхностью атакиeasmоценка рисков

Новая волна атак PhantomRaven в npm: кража данных разработчиков через 88 вредоносных пакетов

12 мар. 20262 мин. чтения3
управление поверхностью атакиуправление уязвимостямиоценка рисковeasm
Новости

Взлом через фейковые репозитории Next.js: новая угроза для разработчиков

26 фев. 20263 мин. чтения3
вредоносное поуправление уязвимостямиоценка рисковуправление поверхностью атакиeasm
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.