サプライチェーン攻撃でパブリッシャーのアカウントが侵害された後、GlassWormマルウェアがOpen VSXマーケットプレイスに再び出現したとSocketが報告している。
1月30日、脅威アクターが、合計ダウンロード数が2万2,000件を超える4つの既存のVS Code拡張機能の悪意あるバージョンを公開した。
これらの拡張機能には、実行時に動作し、ロシア語ロケールのシステムを回避し、Solanaのトランザクションメモからコマンド&コントロール(C&C)データを解決し、追加のコードを実行するコードが含まれていた。
以前に観測された活動と一致して、これらの拡張機能はGlassWormローダーを展開するように再利用されていたが、今回の新たな攻撃はタイポスクワッティングやクローン化されたツールには依存していなかった。
「対照的に、これら4つの拡張機能は、複数拡張の公開履歴があり、エコシステム全体で有意な採用シグナルを持つ、確立されたパブリッシャーアカウントの下で公開されていた」と、Socketは指摘している。
このパブリッシャーは、数千件のダウンロードを持つVisual Studio Marketplaceのリスティングも維持しているが、分析されたインシデントはOpen VSXの拡張機能のみに関するものだ。
「脅威アクターは、確立されたパブリッシャーのアイデンティティを通じて汚染された更新を公開し、Open VSXのセキュリティチームは、このインシデントを漏えいしたトークン、またはその他の不正な公開アクセスと整合すると評価した」とSocketは述べている。
macOSマルウェア
脅威アクターは、各拡張機能のextension.jsファイルに、ほぼ同一のローダーを隠していた。これはシステムをプロファイリングするコードを読み込み、Solana上のトランザクションメモから指示を受け取る。
このローダーは明示的にmacOSシステムに焦点を当てており、OSチェックに合格した場合にのみ次の段階へ進む。第2のペイロードは、データ窃取と永続化を目的としたNode.jsのJavaScriptインプラントだ。
実行されると、このマルウェアはFirefox系およびChrome系ブラウザを標的にして、Cookie、フォーム履歴、ログインファイル、ウォレット拡張機能のアーティファクトを盗み取る。また、SafariのCookie、デスクトップ暗号資産ウォレット、macOSキーチェーン、Apple Notes、FortiClient VPNのデータもシステム内から検索する。
最後に、デスクトップ、ドキュメント、ダウンロードの各フォルダから文書を収集し、収集した情報をすべて、ハードコードされた外部の送信先へ持ち出すためにステージングする。
Socketによると、このマルウェアはAWSやSSH情報など、開発者の認証情報や設定を特に標的としており、アカウント侵害やラテラルムーブメント活動のリスクを高めている。
「このキャンペーンは、Open VSXにおけるサプライチェーン悪用の明確なエスカレーションを示している。脅威アクターは通常の開発者ワークフローに紛れ込み、暗号化され実行時に復号されるローダーの背後に実行を隠し、Solanaのメモを動的なデッドドロップとして用いて、拡張機能を再公開することなくステージング基盤をローテーションしている」とSocketは述べている。
翻訳元: https://www.securityweek.com/open-vsx-publisher-account-hijacked-in-fresh-glassworm-attack/
