GlassWormマルウェアキャンペーンは再び戦略を再調整し、さらに危険な脅威へと変異している。わずか数日のうちに、Open VSX開発エコシステムの拡張機能を通じて組織された攻撃は、秘密の準備段階から実際の感染へと変貌した。さらに悪いことに、デジタルの襲撃者たちは外部インフラストラクチャーを武装化し、防御を極めて困難にしている。
Socketの先駆者たちは、これまで潜在していた拡張機能が唐突に目覚め、悪意のある変形を遂行した後の悪質なアクティビティの新たな波を記録した。当初、これらのデジタル産物は良性の外観で偽装され、完全に疑惑を逃れていた。しかし、わずか数時間か数日の間隔の後、隠れダウンローダーが巧妙に接続され、有毒なペイロードを盗むために設計された。
3月17日と18日に、包囲攻撃は活発な段階へと拡大した。多数の拡張機能が依存関係の行列へと変形され、自動的に悪質なコンポーネントを埋め込むよう工作された。lauracode.wrap-selected-codeという拡張機能は、GitHubのリポジトリから有毒なアーカイブを直接盗み出し、複数の統合開発環境(IDE)に無分別に注入するという致命的な更新を受けた。この戦略は悪質行為者にとって深刻な進化を示している。有毒なアーキテクチャはもはやOpen VSXインフラストラクチャに束縛されず、その根絶を指数関数的に複雑にしている。
法医学的な分析により、悪質なダウンローダーは拡張機能の活性化時に正確に発火し、確立された開発環境を貪欲に探し出し、補助的なVSIXアーティファクトを強制的に植え付けることが明らかになった。有毒なコードは極めて入念に自らを難読化している。拡張機能の元のソースコードには疑わしい異常が全く見当たらず、致命的なペイロード全体がコンパイル済みのJavaScriptに直接注入されている。
襲撃者たちは包囲攻撃を調整するために極めて非正統的な仕組みを展開している。正統的なコマンドサーバーを避けることで、Solanaブロックチェーンを奪取した。悪質なアーキテクチャはその指令を暗号化トランザクション経由で受け取る。その中には、次の攻撃段階を指示する主要なハイパーリンクが暗号化された状態で格納されている。このような分散型の機構は、単一の脆弱なコマンド中枢が全く存在しないため、事実上無力化が不可能である。
これらの有毒な拡張機能は、Python、SQL、構文フォーマット、さらには人工知能統合など、ありふれた開発ツールを巧みに模倣している。肉眼での観察やテキストによる精査において、これらの偽造パッケージは本物の親パッケージと全く区別がつかない。悪質なコードはバイナリの層に完璧に隠蔽されている。
この現代的な波は疑いの余地なく、攻撃がより高度で執拗な脅威へと進化したことを実証している。デジタルの襲撃者たちは事前に眠っている「殻」を仕込み、その後、最も好都合な瞬間にそれらを発火させ、外部の源に結合させ、法医学的検出の見通しを大幅に曖昧にしている。
