GlassWorm: um infostealer com C2 descentralizado e infecção da ecossistema de desenvolvedores

GlassWorm é uma campanha de roubo de dados em vários estágios, direcionada a desenvolvedores e usuários de criptomoedas. Ela se espalha através de extensões comprometidas para o Visual Studio Code e Cursor, além de pacotes no npm e OpenVSX, tornando-se um clássico cenário de ataque na cadeia de suprimentos.

ℹ️ Como o ataque funciona

Uma característica chave do GlassWorm é ocultar seu carga útil usando steganografia Unicode.

O código malicioso é codificado no intervalo Unicode U+E0100–U+E01EF (Suplemento de Selecionadores de Variação) e inserido em cadeias de caracteres que parecem visualmente vazias. Durante a execução, esses caracteres são decodificados de volta para uma carga útil binária.

O malware também realiza filtragem das vítimas. Ele verifica o local e o fuso horário do sistema e pode evitar a ativação em sistemas associados a países do CIS.

Um mecanismo de esfriamento também é implementado. A presença de um arquivo de serviço init.json impede que o malware seja reativado por dois dias. Isso reduz o ruído e diminui a probabilidade de detecção.

➡️ Injeção e execução

No Windows, o malware usa injeção de DLL através da técnica Early Bird APC.

O processo funciona da seguinte forma: o malware extrai uma DLL de seus recursos incorporados, cria um processo de navegador em estado suspenso ou de depuração, aloca memória em seu espaço de endereçamento e escreve o caminho para a DLL. Em seguida, agendou uma chamada para LoadLibraryW através da fila APC. Uma vez que a execução é retomada, a DLL é carregada no processo alvo.

Este abordagem permite a execução de código antes da inicialização completa do processo e ajuda a contornar certos controles de segurança.

🌐 C2 descentralizado

Ao invés de endereços de controle e comando codificados, o malware os recupera de dados de transação, especificamente campos de memo associados a várias carteiras de criptomoeda.

Isso fornece várias vantagens: nenhum ponto único de falha, a capacidade de atualizar a infraestrutura dinamicamente sem modificar o malware e maior resistência à bloqueio.

💣 Auto-propagação

O GlassWorm implementa um modelo de propagação semelhante a um verme através de desenvolvedores.

Depois da infecção, ele coleta dados do ambiente, incluindo tokens do GitHub e npm, além do conteúdo de diretórios de trabalho. Ele pode, então, modificar os projetos da vítimas ou publicar pacotes infectados que são posteriormente instalados por outros desenvolvedores.

Isso cria um ciclo auto-sustentável, no qual um desenvolvedor infectado se torna uma fonte de infecção para outros.

🔖 Observações adicionais

A pesquisa aponta sinais possíveis de uso de IA gerativa na desenvolvimento de certos componentes. Por exemplo, mensagens CLI incomumente "amigáveis" e elementos estilísticos não padrão.

O malware também apresenta atividade sistêmica atípica, incluindo a criação de canais de comunicação com nomes únicos, injeção em processos de navegador, interação com interfaces COM não comuns e modificação de arquivos de configuração de navegador.

💬 Discuta