Gate News, l’agence de sécurité GoPlus a émis une alerte indiquant que GlassWorm a évolué d’un ver VS Code précoce à un cadre d’attaque de chaîne d’approvisionnement hautement complexe, en se déguisant en extension Chrome pour voler des données sensibles des utilisateurs et des actifs cryptographiques, avec un champ de menace en expansion continue.

Le cœur de cette attaque repose sur la dépendance à l’empoisonnement et à l’injection de code caché. Les attaquants utilisent des caractères Unicode spéciaux et des caractères PUA pour altérer les paquets npm et PyPI, et y implantent un chargeur malveillant. Ces caractères sont difficiles à reconnaître par les outils de révision de code, permettant au code malveillant de contourner les détections d’analyse statique traditionnelles et de contaminer l’environnement de développement dès le départ.

Sur le plan de la communication, GlassWorm adopte des méthodes de contrôle plus discrètes. Il abandonne les serveurs de noms de domaine traditionnels et utilise plutôt la blockchain Solana comme canal de commande et de contrôle, en cachant les instructions dans des notes de transaction sur la chaîne. Cette conception confère à l’infrastructure d’attaque une plus grande capacité de résistance à la censure, rendant difficile le suivi ou la coupure par des moyens conventionnels.

Du côté des terminaux, l’attaque se matérialise en se déguisant en extension “Google Docs Offline”. Ce plugin malveillant peut voler les cookies du navigateur, le contenu du presse-papiers et l’historique de navigation, tout en possédant des capacités d’enregistrement des frappes et de capture d’écran, et peut surveiller les activités des portefeuilles matériels tels que Ledger et Trezor. De plus, les attaquants peuvent faire apparaître une interface de phishing pour inciter les utilisateurs à saisir leurs phrases de récupération, permettant ainsi un contrôle direct des actifs numériques.

GoPlus avertit les utilisateurs de déployer des outils de détection capables de reconnaître les caractères cachés et d’éviter d’installer des logiciels ou des plugins d’origine inconnue. Ils doivent également rester vigilants face aux signatures de transaction anormales et aux demandes de transfert. En cas de soupçon d’intrusion de l’appareil, il est recommandé de déconnecter immédiatement la connexion réseau et de changer tous les identifiants de compte concernés pour réduire les pertes potentielles.

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.