GlassWorm供应链蠕虫利用隐形Unicode与Solana区块链实现隐蔽C2通信
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
网络安全公司Koi Security发现了首个针对OpenVSX市场的自传播恶意软件GlassWorm,该恶意软件利用隐形Unicode注入和区块链C2基础设施,已导致至少35,800次感染。它能够窃取凭证、清空加密钱包,并通过Google日历作为备份命令服务器增强隐蔽性和抗审查能力。
🎯
关键要点
- Koi Security发现了首个针对OpenVSX市场的自传播恶意软件GlassWorm。
- GlassWorm结合了隐形Unicode注入、区块链C2基础设施和Google日历备份服务器。
- 截至2025年10月19日,已确认至少35,800次感染,多个受感染扩展仍在活跃。
- GlassWorm能自动在开发者生态系统中传播,窃取凭证和清空加密钱包。
- 恶意代码通过Unicode变体选择器嵌入,肉眼和大多数扫描器无法检测。
- 恶意软件使用Solana区块链作为命令与控制基础设施,难以被清除。
- Google日历事件被用作备份命令服务器,提供冗余的C2机制。
- GlassWorm主动窃取多种平台的凭证,并具备多功能远程访问木马(RAT)功能。
- 恶意软件具有自我复制能力,能自动入侵更多软件包和扩展。
- 用户在无感知情况下接收恶意版本,攻击仍在活跃进行。
❓
延伸问答
GlassWorm恶意软件是如何传播的?
GlassWorm恶意软件能够自动在开发者生态系统中传播,利用窃取的凭证入侵更多软件包和扩展。
GlassWorm使用了哪些技术来隐藏其恶意代码?
GlassWorm通过隐形Unicode注入技术嵌入恶意代码,使其对人眼和大多数扫描器不可见。
GlassWorm如何利用区块链进行命令与控制?
GlassWorm使用Solana区块链作为命令与控制基础设施,受感染系统通过查询区块链获取指向有效载荷的链接。
Google日历在GlassWorm中扮演什么角色?
Google日历被用作备份命令服务器,提供冗余的C2机制,恶意软件通过它连接以获取新的有效载荷。
GlassWorm恶意软件的主要目标是什么?
GlassWorm主要目标是窃取用户凭证和清空加密钱包,影响多个平台的用户。
用户如何在不知情的情况下感染GlassWorm?
用户在无感知情况下接收恶意版本,因为VS Code扩展会自动更新到受感染的版本,无需用户交互。
➡️
