GlassWorm upgrade supply chain attack! Disguised plugins steal crypto assets, Solana becomes C2 channel.

Gate News berita, lembaga keamanan GoPlus mengeluarkan peringatan bahwa GlassWorm telah berevolusi dari worm VS Code awal menjadi kerangka serangan rantai pasokan yang sangat kompleks, yang menyamar sebagai ekstensi Chrome untuk mencuri data sensitif pengguna dan aset kripto, dengan jangkauan ancaman yang terus meluas.

Inti dari serangan ini terletak pada ketergantungan pada pencemaran dan injeksi kode tersembunyi. Penyerang menggunakan karakter Unicode dan PUA khusus untuk memodifikasi paket npm dan PyPI, serta menyisipkan pemuat berbahaya. Karakter-karakter ini sulit dikenali dalam alat pemeriksaan kode, memungkinkan kode berbahaya untuk melewati deteksi analisis statis tradisional, mencemari lingkungan pengembangan dari sumbernya.

Dalam hal komunikasi, GlassWorm mengadopsi cara pengendalian yang lebih tersembunyi. Ia meninggalkan server nama domain tradisional dan beralih menggunakan blockchain Solana sebagai saluran perintah dan kontrol, menyembunyikan instruksi dalam catatan transaksi di blockchain. Desain ini membuat infrastruktur serangan memiliki ketahanan yang lebih kuat terhadap pemblokiran, sulit dilacak atau diputuskan dengan cara konvensional.

Di sisi terminal, serangan dilakukan dengan menyamar sebagai ekstensi “Google Docs Offline”. Plugin berbahaya ini dapat mencuri Cookie browser, konten clipboard, dan riwayat penelusuran, serta memiliki kemampuan merekam ketikan dan menangkap layar, serta dapat memantau aktivitas dompet keras seperti Ledger dan Trezor. Selain itu, penyerang juga akan memunculkan antarmuka phishing untuk mendorong pengguna memasukkan frasa pemulihan, sehingga dapat mengendalikan aset digital secara langsung.

GoPlus memperingatkan pengguna agar menerapkan alat deteksi yang dapat mengenali karakter tersembunyi, dan menghindari menginstal perangkat lunak atau plugin yang tidak dikenal. Selain itu, perlu waspada terhadap tanda tangan transaksi yang tidak biasa dan permintaan transfer. Jika ada kecurigaan perangkat telah disusupi, segera putuskan koneksi jaringan dan ganti semua kredensial akun terkait untuk mengurangi potensi kerugian.