GlassWorm อัปเกรดการโจมตีซัพพลายเชน! ปลั๊กอินปลอมแปลงขโมยสินทรัพย์คริปโต, Solana กลายเป็นช่องทาง C2

Gate News ข่าวสาร, หน่วยงานด้านความปลอดภัย GoPlus ได้ออกคำเตือนว่า GlassWorm ได้พัฒนาจากเวิร์ม VS Code ที่เคยมีมาก่อนกลายเป็นกรอบการโจมตีซัพพลายเชนที่ซับซ้อนสูง โดยปลอมตัวเป็นโปรแกรมขยาย Chrome เพื่อขโมยข้อมูลที่ละเอียดอ่อนของผู้ใช้และทรัพย์สินดิจิทัล โดยขอบเขตของภัยคุกคามยังคงขยายตัวต่อไป

การโจมตีครั้งนี้มีแกนหลักอยู่ที่การพึ่งพาการปนเปื้อนและการฉีดโค้ดซ่อนเร้น ผู้โจมตีใช้ Unicode และอักขระ PUA ที่พิเศษในการดัดแปลงแพ็คเกจ npm และ PyPI และใส่โหลดเมอร์อันตรายเข้าไป อักขระเหล่านี้ยากที่จะถูกระบุในเครื่องมือการตรวจสอบโค้ด ทำให้โค้ดอันตรายสามารถหลบเลี่ยงการตรวจจับการวิเคราะห์สถิติปกติได้ ทำให้มีการปนเปื้อนในสภาพแวดล้อมการพัฒนาจากต้นทาง

ในแง่ของการสื่อสาร GlassWorm ใช้เทคนิคการควบคุมที่ซ่อนเร้นมากขึ้น โดยละทิ้งเซิร์ฟเวอร์โดเมนแบบดั้งเดิมและหันมาใช้บล็อกเชน Solana เป็นช่องทางคำสั่งและควบคุม โดยซ่อนคำสั่งในบันทึกธุรกรรมบนบล็อกเชน การออกแบบเช่นนี้ทำให้โครงสร้างพื้นฐานการโจมตีกระจายความเสี่ยงต่อการถูกบล็อก มีความยากในการติดตามหรือตัดขาดด้วยวิธีปกติ

ในฝั่งของปลายทาง การโจมตีดำเนินการโดยปลอมตัวเป็นโปรแกรมขยาย “Google Docs Offline” ซึ่งปลั๊กอินอันตรายนี้สามารถขโมย Cookie ของเบราว์เซอร์, เนื้อหาจากคลิปบอร์ด และประวัติการเข้าชม นอกจากนี้ยังมีความสามารถในการบันทึกการกดแป้นพิมพ์และภาพหน้าจอ และสามารถติดตามกิจกรรมของกระเป๋าเงินฮาร์ดแวร์อย่าง Ledger และ Trezor ได้อีกด้วย นอกจากนี้ผู้โจมตียังสามารถแสดงหน้าต่างฟิชชิ่งเพื่อหลอกล่อให้ผู้ใช้ป้อนคำแนะนำ เพื่อควบคุมทรัพย์สินดิจิทัลโดยตรง

GoPlus เตือนผู้ใช้ให้ติดตั้งเครื่องมือที่สามารถระบุอักขระที่ซ่อนอยู่ และหลีกเลี่ยงการติดตั้งซอฟต์แวร์หรือปลั๊กอินที่ไม่รู้แหล่งที่มา นอกจากนี้ยังควรระมัดระวังลายเซ็นธุรกรรมที่ผิดปกติและคำขอโอนเงิน หากสงสัยว่าอุปกรณ์ถูกบุกรุก ควรตัดการเชื่อมต่อเครือข่ายทันที และเปลี่ยนข้อมูลประจำตัวบัญชีที่เกี่ยวข้องทั้งหมดเพื่อลดความเสียหายที่อาจเกิดขึ้น