Open VSX Supply Chain Attack Used Compromised Dev Account to Spread GlassWorm

นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยรายละเอียดการโจมตี Supply Chain ใน Open VSX Registry โดยผู้ไม่หวังดีได้เจาะระบบบัญชีนักพัฒนาที่ถูกต้องเพื่อเผยแพร่ GlassWorm Malware ผ่านการอัปเดต Extension ที่เป็นอันตราย Extension ที่ติดมัลแวร์เหล่านี้มีการดาวน์โหลดสะสมกว่า 22,000 ครั้ง มัลแวร์ GlassWorm ถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูลรับรอง macOS, ข้อมูลกระเป๋าเงินคริปโต, ข้อมูลเบราว์เซอร์, บันทึก Apple Notes และข้อมูลรับรองนักพัฒนา โดยจะทำงานหลังจากตรวจสอบโปรไฟล์เครื่องและยืนยันว่าไม่ใช่ภูมิภาคของรัสเซีย การโจมตีครั้งนี้ใช้บัญชีที่ถูกบุกรุกของนักพัฒนาจริง ซึ่งต่างจากการโจมตี GlassWorm ก่อนหน้านี้ที่ใช้ Typosquatting และ Brandjacking

Severity: วิกฤต

System Impact:

• Open VSX Registry
• VS Code extensions (FTP/SFTP/SSH Sync Tool, I18n Tools, vscode mindmap, scss to css)
• Apple macOS
• Mozilla Firefox และเบราว์เซอร์ที่ใช้ Chromium
• กระเป๋าเงินคริปโตเคอร์เรนซี (Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance, TonKeeper)
• iCloud Keychain database
• Apple Notes
• ไฟล์การตั้งค่า FortiClient VPN
• ข้อมูลรับรองนักพัฒนา (เช่น ~/.aws, ~/.ssh, npm configuration, GitHub authentication artifacts)

Technical Attack Steps:

1. **การบุกรุกบัญชีนักพัฒนา:** ผู้โจมตีได้เข้าถึงข้อมูลรับรองการเผยแพร่ของนักพัฒนา Open VSX รายหนึ่ง (oorzc) ซึ่งคาดว่าเกิดจากการรั่วไหลของโทเค็นหรือการเข้าถึงที่ไม่ได้รับอนุญาต
2. **การเผยแพร่การอัปเดตที่เป็นอันตราย:** ผู้โจมตีใช้บัญชีที่ถูกบุกรุกเพื่อเผยแพร่เวอร์ชันที่เป็นอันตรายของ Extension ยอดนิยม 4 รายการบน Open VSX Registry
3. **การฝังมัลแวร์ GlassWorm:** เวอร์ชันที่เป็นอันตรายของ Extension เหล่านี้ได้ฝัง GlassWorm malware loader ไว้ภายใน
4. **การดึง C2 Endpoints:** Loader ของมัลแวร์ใช้เทคนิค EtherHiding เพื่อดึงข้อมูล Command-and-Control (C2) Endpoints แบบไดนามิก โดยไม่จำเป็นต้องเผยแพร่ Extension ใหม่
5. **การตรวจสอบสภาพแวดล้อมเป้าหมาย:** มัลแวร์จะทำงานก็ต่อเมื่อมีการตรวจสอบโปรไฟล์ของเครื่องที่ถูกบุกรุกและพบว่าไม่ใช่ภูมิภาคของรัสเซีย
6. **การขโมยข้อมูล:** เมื่อเงื่อนไขเป็นไปตามที่กำหนด มัลแวร์จะถอดรหัสและรันโค้ดเพื่อขโมยข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรอง macOS, ข้อมูลกระเป๋าเงินคริปโต, ข้อมูลเบราว์เซอร์, บันทึก Apple Notes, เอกสารผู้ใช้ และข้อมูลรับรองนักพัฒนา (เช่น ~/.aws, ~/.ssh, npm configuration, GitHub authentication artifacts)

Recommendations:

Short Term:

• ผู้ใช้งานที่ติดตั้ง Extension เหล่านี้ควรถอนการติดตั้งและตรวจสอบระบบเพื่อหาการประนีประนอมทันที
• เปลี่ยนรหัสผ่านและข้อมูลรับรองที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่งสำหรับบัญชีนักพัฒนาและบริการที่ใช้โทเค็น
• ตรวจสอบกิจกรรมที่น่าสงสัยในบัญชีนักพัฒนาและสภาพแวดล้อมการพัฒนา
• บล็อกการเชื่อมต่อกับ C2 Endpoints ที่ตรวจพบจาก GlassWorm

Long Term:

• บังคับใช้การยืนยันตัวตนแบบ Multi-Factor Authentication (MFA) สำหรับบัญชีนักพัฒนาทั้งหมดและกระบวนการเผยแพร่ Extension
• ดำเนินการตรวจสอบความปลอดภัยของ Supply Chain อย่างสม่ำเสมอสำหรับ Extension และ Dependency ทั้งหมด
• ลงทุนในโซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับพฤติกรรมที่น่าสงสัยและตอบสนองต่อภัยคุกคาม
• ให้ความรู้แก่นักพัฒนาเกี่ยวกับความเสี่ยงของการโจมตีแบบ Phishing และการรักษาความปลอดภัยของข้อมูลรับรอง
• แยกสภาพแวดล้อมการพัฒนาและข้อมูลที่ละเอียดอ่อนออกจากกัน

Source: The Hacker News