Gate News のニュースによると、安全機関GoPlusが警告を発し、GlassWormが初期のVS Codeワームから高度に複雑なサプライチェーン攻撃フレームワークに進化し、Chrome拡張機能に偽装してユーザーの機密データや暗号資産を盗み、脅威の範囲が拡大しているとしています。
今回の攻撃の核心は、毒を投げ込むことと隠蔽コード注入に依存しています。攻撃者は特別なUnicodeとPUA文字を利用して、npmおよびPyPIのソフトウェアパッケージを改竄し、悪意のあるローダーを埋め込みました。これらの文字はコードレビューツールでは認識されにくいため、悪意のあるコードは従来の静的分析検出を回避し、開発環境を源から汚染することができます。
通信の面では、GlassWormはより隠蔽された制御方法を採用しています。従来のドメインネームサーバーを放棄し、Solanaブロックチェーンをコマンドおよび制御チャネルとして利用し、指示をチェーン上の取引メモに隠しています。この設計により、攻撃インフラはより強いブロック耐性を持ち、通常の手段では追跡や切断が困難になります。
エンドポイント側では、攻撃は「Google Docs Offline」の拡張機能に偽装して実行されます。この悪意のあるプラグインは、ブラウザのCookie、クリップボードの内容、閲覧履歴を盗むことができ、さらにキーボードの入力を記録し、スクリーンショットを撮影する能力を持ち、LedgerやTrezorなどのハードウェアウォレットの活動を監視することもできます。さらに、攻撃者はフィッシング画面を表示してユーザーにリカバリーフレーズを入力させ、直接デジタル資産を制御します。
GoPlusはユーザーに対し、隠れた文字を識別できる検出ツールを導入し、出所不明のソフトウェアやプラグインのインストールを避けるよう警告しています。また、異常な取引署名や送金要求に注意を払う必要があります。デバイスが侵入された疑いがある場合は、直ちにネットワーク接続を切断し、すべての関連アカウントの資格情報を変更して潜在的な損失を低減するようにしてください。
