GlassWorm koristi Solana dead drop za RAT i krađu browser i kripto podataka
The Hacker News piše da je kampanja GlassWorm evoluirala u višefazni napad koji isporučuje RAT, krade podatke iz browsera i cilja kripto novčanike. Napad koristi lažne pakete i ekstenzije preko npm, PyPI, GitHub i Open VSX kanala, a za pronalaženje komandno-kontrolne infrastrukture koristi Solana blockchain i Google Calendar kao dead drop mehanizme. U kasnijim fazama malware krade kolačiće, sesije, istoriju, clipboard, screenshotove i keystroke podatke, a dodatno prikazuje lažne prozore za Ledger i Trezor kako bi izmamio recovery phrase.
Ovo je ozbiljan primer kako supply-chain kompromitacija može prerasti u duboku krađu identiteta, browser sesija i kripto sredstava. Posebno je opasno to što se napad oslanja na legitimne razvojne kanale i javne servise, pa ga je teže uočiti ako tim veruje paketu samo zato što deluje poznato ili popularno.
- Proveravati izdavača, istoriju paketa i reputaciju pre instalacije npm, PyPI i Open VSX komponenti
- Ne verovati slepo download brojkama i nazivima koji liče na poznate alate
- Pregledati browser ekstenzije i ukloniti sve nepoznate ili sumnjive dodatke
- Pratiti znake krađe sesija, kolačića i sumnjivih preusmerenja u browseru
- Posebno upozoriti developere i korisnike kripto novčanika na lažne prozore za recovery phrase