Р24
ИнформационноеАгентство
Новости часа
Транзит казахстанской нефти может стать рычагом давления на БерлинFitch снизил прогнозы роста ВВП США и Китая из-за войны с ИраномАграриев обеспечат топливом вопреки давлению мировых ценИнфляция в России замедлилась до 5,77 процента годовыхOzon построит завод электроники для спасения логистикиГреция сократила госдолг до 146% ВВП за счет роста экономикиТранзит казахстанской нефти может стать рычагом давления на БерлинFitch снизил прогнозы роста ВВП США и Китая из-за войны с ИраномАграриев обеспечат топливом вопреки давлению мировых ценИнфляция в России замедлилась до 5,77 процента годовыхOzon построит завод электроники для спасения логистикиГреция сократила госдолг до 146% ВВП за счет роста экономики
USD74,59
EUR87,77
ИТ-бизнес

Вирус GlassWorm атаковал сотни ИТ-проектов через доверие разработчиков

Вредоносная программа GlassWorm скомпрометировала более 400 репозиториев на GitHub, npm и VSCode, используя уязвимости в Open Source экосистеме. По данным исследователей из Aikido и Step Security, последняя волна атак стала самой масштабной, затронув сотни проектов на Python и JavaScript с целью кражи учетных данных и криптоактивов.

20 мар, 10:28Редакция
Вирус GlassWorm атаковал сотни ИТ-проектов через доверие разработчиков

Вредоносная программа GlassWorm скомпрометировала более 400 репозиториев на GitHub, npm и VSCode, используя уязвимости в Open Source экосистеме. По данным исследователей из Aikido и Step Security, последняя волна атак стала самой масштабной, затронув сотни проектов на Python и JavaScript с целью кражи учетных данных и криптоактивов.

История GlassWorm началась в октябре 2025 года, когда злоумышленники впервые применили «невидимые» символы Unicode для маскировки вредоносного кода. С тех пор кампания пережила несколько этапов развития, добравшись до систем под управлением macOS и расширений VSCode. К марту 2026 года общее число пострадавших площадок достигло 433 объектов, включая 200 Python-репозиториев и десятки пакетов в npm.

Управление через блокчейн Solana

Техническая особенность GlassWorm заключается в использовании блокчейна Solana в качестве командного сервера. Каждые пять секунд вредонос обращается к сети за инструкциями, которые злоумышленники публикуют в виде заметок (memo) к транзакциям. Такой метод позволяет скрытно менять адреса для загрузки «полезной нагрузки» — инфостилера, написанного на JavaScript.

Помимо данных криптокошельков, программа охотится за SSH-ключами, токенами доступа и информацией о среде разработки. Примечательно, что GlassWorm не проявляет активности, если обнаруживает в системе русскую локаль. Хотя анализ комментариев в коде указывает на возможные корни авторов, эксперты призывают не спешить с однозначной атрибуцией.

Как вычислить заражение

Эксперт компании SEQ Дмитрий Пешков отмечает, что главной уязвимостью в этой схеме стало избыточное доверие разработчиков к сторонним компонентам. По его словам, единственным надежным вариантом защиты остается регулярный аудит внешних библиотек. Для проверки собственных проектов специалисты рекомендуют обратить внимание на специфические маркеры.

Основные индикаторы компрометации:

  • присутствие строки lzcdrtfxyqiplpd в пуле кода;
    • появление файла `~/init.json` в домашнем каталоге;
внеплановая установка Node.js в папках пользователя (например, `~/node-v22`);
    • подозрительные файлы `i.js` в недавно клонированных проектах.
Исследователи также советуют проверять логи Git на предмет аномалий, таких как несоответствие дат коммитов, что может указывать на несанкционированное вмешательство в историю репозитория.

Комментарии

Комментарии (0)

Оставить комментарий

Пока нет комментариев. Будьте первым!