“GlassWorm: มัลแวร์สายพันธุ์ใหม่โจมตี VS Code ด้วย Unicode ล่องหนและ Solana Blockchain” — เมื่อการรีวิวโค้ดด้วยสายตาไม่สามารถป้องกันภัยได้อีกต่อไป
นักวิจัยจาก Koi Security เปิดเผยการค้นพบมัลแวร์ชนิดใหม่ชื่อว่า “GlassWorm” ซึ่งเป็นมัลแวร์แบบ self-propagating worm ตัวแรกที่โจมตีผ่าน VS Code extensions บน OpenVSX Marketplace โดยใช้เทคนิคที่ล้ำหน้าและซับซ้อนที่สุดเท่าที่เคยมีมาในสายซัพพลายเชน
GlassWorm ใช้ “Unicode variation selectors” เพื่อฝังโค้ดอันตรายที่ไม่สามารถมองเห็นได้ด้วยตาเปล่าหรือเครื่องมือรีวิวโค้ดทั่วไป เช่น GitHub diff viewer หรือ syntax highlighter ของ VS Code — โค้ดที่ดูเหมือนช่องว่างนั้นจริง ๆ แล้วคือคำสั่ง JavaScript ที่สามารถรันได้ทันที
เมื่อฝังตัวสำเร็จ มัลแวร์จะใช้ Solana blockchain เป็น command-and-control (C2) infrastructure โดยฝัง wallet address ไว้ในโค้ด และให้ระบบติดตาม transaction memo เพื่อดึง payload ถัดไปแบบ base64 ซึ่งไม่สามารถถูกปิดกั้นด้วยการบล็อกโดเมนหรือ IP แบบเดิม
หาก Solana ถูกบล็อก GlassWorm ยังมี “แผนสำรอง” โดยใช้ Google Calendar event เป็น backup C2 — โดยฝัง URL payload ไว้ในชื่อ event ซึ่งสามารถเข้าถึงได้ฟรีและไม่ถูกบล็อกโดยระบบใด ๆ
มัลแวร์ยังมีความสามารถในการขโมย credentials จาก NPM, GitHub, OpenVSX และ wallet extensions กว่า 49 รายการ เช่น MetaMask, Phantom และ Coinbase Wallet
Payload สุดท้ายคือ “ZOMBI” — remote access trojan (RAT) ที่เปลี่ยนเครื่องของเหยื่อให้กลายเป็น proxy node สำหรับกิจกรรมอาชญากรรม โดยใช้เทคนิค HVNC (Hidden VNC), WebRTC P2P, และ BitTorrent DHT เพื่อหลบหลีกการตรวจจับ
ที่น่ากลัวที่สุดคือ GlassWorm สามารถแพร่กระจายตัวเองโดยใช้ credentials ที่ขโมยมาไปฝังมัลแวร์ใน extensions อื่น ๆ ได้แบบอัตโนมัติ — สร้างวงจรการติดเชื้อที่ขยายตัวเองได้เรื่อย ๆ
GlassWorm เป็นมัลแวร์แบบ self-propagating worm ตัวแรกที่โจมตี VS Code extensions
พบใน OpenVSX และ Microsoft Marketplace
ใช้ Unicode variation selectors เพื่อฝังโค้ดล่องหน
ไม่สามารถตรวจจับได้ด้วยเครื่องมือรีวิวโค้ดทั่วไป
ใช้ Solana blockchain เป็น C2 infrastructure
ดึง payload ผ่าน transaction memo แบบ base64
ใช้ Google Calendar เป็น backup C2
ฝัง URL payload ไว้ในชื่อ event
ขโมย credentials จาก NPM, GitHub และ wallet extensions กว่า 49 รายการ
เช่น MetaMask, Phantom, Coinbase Wallet
Payload สุดท้ายคือ ZOMBI RAT ที่เปลี่ยนเครื่องเหยื่อเป็น proxy node
ใช้ HVNC, WebRTC P2P และ BitTorrent DHT
แพร่กระจายตัวเองโดยใช้ credentials ที่ขโมยมา
ฝังมัลแวร์ใน extensions อื่น ๆ ได้แบบอัตโนมัติ
https://securityonline.info/glassworm-supply-chain-worm-uses-invisible-unicode-and-solana-blockchain-for-stealth-c2/
นักวิจัยจาก Koi Security เปิดเผยการค้นพบมัลแวร์ชนิดใหม่ชื่อว่า “GlassWorm” ซึ่งเป็นมัลแวร์แบบ self-propagating worm ตัวแรกที่โจมตีผ่าน VS Code extensions บน OpenVSX Marketplace โดยใช้เทคนิคที่ล้ำหน้าและซับซ้อนที่สุดเท่าที่เคยมีมาในสายซัพพลายเชน
GlassWorm ใช้ “Unicode variation selectors” เพื่อฝังโค้ดอันตรายที่ไม่สามารถมองเห็นได้ด้วยตาเปล่าหรือเครื่องมือรีวิวโค้ดทั่วไป เช่น GitHub diff viewer หรือ syntax highlighter ของ VS Code — โค้ดที่ดูเหมือนช่องว่างนั้นจริง ๆ แล้วคือคำสั่ง JavaScript ที่สามารถรันได้ทันที
เมื่อฝังตัวสำเร็จ มัลแวร์จะใช้ Solana blockchain เป็น command-and-control (C2) infrastructure โดยฝัง wallet address ไว้ในโค้ด และให้ระบบติดตาม transaction memo เพื่อดึง payload ถัดไปแบบ base64 ซึ่งไม่สามารถถูกปิดกั้นด้วยการบล็อกโดเมนหรือ IP แบบเดิม
หาก Solana ถูกบล็อก GlassWorm ยังมี “แผนสำรอง” โดยใช้ Google Calendar event เป็น backup C2 — โดยฝัง URL payload ไว้ในชื่อ event ซึ่งสามารถเข้าถึงได้ฟรีและไม่ถูกบล็อกโดยระบบใด ๆ
มัลแวร์ยังมีความสามารถในการขโมย credentials จาก NPM, GitHub, OpenVSX และ wallet extensions กว่า 49 รายการ เช่น MetaMask, Phantom และ Coinbase Wallet
Payload สุดท้ายคือ “ZOMBI” — remote access trojan (RAT) ที่เปลี่ยนเครื่องของเหยื่อให้กลายเป็น proxy node สำหรับกิจกรรมอาชญากรรม โดยใช้เทคนิค HVNC (Hidden VNC), WebRTC P2P, และ BitTorrent DHT เพื่อหลบหลีกการตรวจจับ
ที่น่ากลัวที่สุดคือ GlassWorm สามารถแพร่กระจายตัวเองโดยใช้ credentials ที่ขโมยมาไปฝังมัลแวร์ใน extensions อื่น ๆ ได้แบบอัตโนมัติ — สร้างวงจรการติดเชื้อที่ขยายตัวเองได้เรื่อย ๆ
GlassWorm เป็นมัลแวร์แบบ self-propagating worm ตัวแรกที่โจมตี VS Code extensions
พบใน OpenVSX และ Microsoft Marketplace
ใช้ Unicode variation selectors เพื่อฝังโค้ดล่องหน
ไม่สามารถตรวจจับได้ด้วยเครื่องมือรีวิวโค้ดทั่วไป
ใช้ Solana blockchain เป็น C2 infrastructure
ดึง payload ผ่าน transaction memo แบบ base64
ใช้ Google Calendar เป็น backup C2
ฝัง URL payload ไว้ในชื่อ event
ขโมย credentials จาก NPM, GitHub และ wallet extensions กว่า 49 รายการ
เช่น MetaMask, Phantom, Coinbase Wallet
Payload สุดท้ายคือ ZOMBI RAT ที่เปลี่ยนเครื่องเหยื่อเป็น proxy node
ใช้ HVNC, WebRTC P2P และ BitTorrent DHT
แพร่กระจายตัวเองโดยใช้ credentials ที่ขโมยมา
ฝังมัลแวร์ใน extensions อื่น ๆ ได้แบบอัตโนมัติ
https://securityonline.info/glassworm-supply-chain-worm-uses-invisible-unicode-and-solana-blockchain-for-stealth-c2/
🪱 “GlassWorm: มัลแวร์สายพันธุ์ใหม่โจมตี VS Code ด้วย Unicode ล่องหนและ Solana Blockchain” — เมื่อการรีวิวโค้ดด้วยสายตาไม่สามารถป้องกันภัยได้อีกต่อไป
นักวิจัยจาก Koi Security เปิดเผยการค้นพบมัลแวร์ชนิดใหม่ชื่อว่า “GlassWorm” ซึ่งเป็นมัลแวร์แบบ self-propagating worm ตัวแรกที่โจมตีผ่าน VS Code extensions บน OpenVSX Marketplace โดยใช้เทคนิคที่ล้ำหน้าและซับซ้อนที่สุดเท่าที่เคยมีมาในสายซัพพลายเชน
GlassWorm ใช้ “Unicode variation selectors” เพื่อฝังโค้ดอันตรายที่ไม่สามารถมองเห็นได้ด้วยตาเปล่าหรือเครื่องมือรีวิวโค้ดทั่วไป เช่น GitHub diff viewer หรือ syntax highlighter ของ VS Code — โค้ดที่ดูเหมือนช่องว่างนั้นจริง ๆ แล้วคือคำสั่ง JavaScript ที่สามารถรันได้ทันที
เมื่อฝังตัวสำเร็จ มัลแวร์จะใช้ Solana blockchain เป็น command-and-control (C2) infrastructure โดยฝัง wallet address ไว้ในโค้ด และให้ระบบติดตาม transaction memo เพื่อดึง payload ถัดไปแบบ base64 ซึ่งไม่สามารถถูกปิดกั้นด้วยการบล็อกโดเมนหรือ IP แบบเดิม
หาก Solana ถูกบล็อก GlassWorm ยังมี “แผนสำรอง” โดยใช้ Google Calendar event เป็น backup C2 — โดยฝัง URL payload ไว้ในชื่อ event ซึ่งสามารถเข้าถึงได้ฟรีและไม่ถูกบล็อกโดยระบบใด ๆ
มัลแวร์ยังมีความสามารถในการขโมย credentials จาก NPM, GitHub, OpenVSX และ wallet extensions กว่า 49 รายการ เช่น MetaMask, Phantom และ Coinbase Wallet
Payload สุดท้ายคือ “ZOMBI” — remote access trojan (RAT) ที่เปลี่ยนเครื่องของเหยื่อให้กลายเป็น proxy node สำหรับกิจกรรมอาชญากรรม โดยใช้เทคนิค HVNC (Hidden VNC), WebRTC P2P, และ BitTorrent DHT เพื่อหลบหลีกการตรวจจับ
ที่น่ากลัวที่สุดคือ GlassWorm สามารถแพร่กระจายตัวเองโดยใช้ credentials ที่ขโมยมาไปฝังมัลแวร์ใน extensions อื่น ๆ ได้แบบอัตโนมัติ — สร้างวงจรการติดเชื้อที่ขยายตัวเองได้เรื่อย ๆ
✅ GlassWorm เป็นมัลแวร์แบบ self-propagating worm ตัวแรกที่โจมตี VS Code extensions
➡️ พบใน OpenVSX และ Microsoft Marketplace
✅ ใช้ Unicode variation selectors เพื่อฝังโค้ดล่องหน
➡️ ไม่สามารถตรวจจับได้ด้วยเครื่องมือรีวิวโค้ดทั่วไป
✅ ใช้ Solana blockchain เป็น C2 infrastructure
➡️ ดึง payload ผ่าน transaction memo แบบ base64
✅ ใช้ Google Calendar เป็น backup C2
➡️ ฝัง URL payload ไว้ในชื่อ event
✅ ขโมย credentials จาก NPM, GitHub และ wallet extensions กว่า 49 รายการ
➡️ เช่น MetaMask, Phantom, Coinbase Wallet
✅ Payload สุดท้ายคือ ZOMBI RAT ที่เปลี่ยนเครื่องเหยื่อเป็น proxy node
➡️ ใช้ HVNC, WebRTC P2P และ BitTorrent DHT
✅ แพร่กระจายตัวเองโดยใช้ credentials ที่ขโมยมา
➡️ ฝังมัลแวร์ใน extensions อื่น ๆ ได้แบบอัตโนมัติ
https://securityonline.info/glassworm-supply-chain-worm-uses-invisible-unicode-and-solana-blockchain-for-stealth-c2/
0 Comments
0 Shares
23 Views
0 Reviews
Thai