So‘nggi kunlarda kiberxavfsizlik mutaxassislari yangi va ancha xavfli hujum turini aniqlashdi — GlassWorm nomi bilan tanilgan bu kampaniya endi o‘z faoliyatini kengaytirib, ochiq kodli loyihalar orqali zararli dasturlarni tarqatishni boshlagan.
Mazkur hujumda asosiy nishon — dasturchilar va ularning GitHub platformasidagi loyihalari hisoblanadi. Hujumchilar dasturchilarning akkauntlariga kirish uchun maxsus zararli kengaytmalar orqali ularning tizimiga kirib boradi va eng muhim ma’lumot — GitHub tokenlarini o‘g‘irlaydi.
Shundan so‘ng hujumning eng xavfli qismi boshlanadi. O‘g‘irlangan tokenlar yordamida hujumchilar foydalanuvchining barcha repozitoriylariga kirish imkoniga ega bo‘ladi va u yerga yashirin zararli kod qo‘shadi. Bu jarayon oddiy commit orqali emas, balki force-push orqali amalga oshiriladi.
"Hujumchilar Git tarixini o‘zgartirib, zararli kodni asl kodga qo‘shadi, ammo commit muallifi, sanasi va xabari o‘zgarmagan holda qoladi."
Bu esa hujumni deyarli ko‘rinmas qiladi. Hatto tajribali dasturchilar ham bunday o‘zgarishni darhol sezmasligi mumkin.
Kiritilgan zararli kod odatda Python loyihalardagi setup.py, main.py yoki app.py fayllariga yashiriladi. Agar foydalanuvchi bunday loyihani yuklab olib ishga tushirsa yoki pip install orqali o‘rnatsa, malware avtomatik ishga tushadi.
Mutaxassislar bu yangi hujum variantini “ForceMemo” deb atamoqda. Zararli kod ishga tushgach, u tizimni tekshiradi va agar qurilma rus tilida bo‘lmasa, faoliyatini davom ettiradi. Shundan so‘ng u maxsus serverdan qo‘shimcha zararli fayllarni yuklab oladi.
Qiziqarli jihati shundaki, bu server manzili oddiy usulda emas, balki kriptovalyuta — Solana hamyonidagi tranzaksiya izohlari orqali olinadi. Bu esa hujumni yanada murakkab va aniqlashni qiyinlashtiradi.
"Hujumchi zararli kodni yashirish uchun turli usullardan foydalangan bo‘lsa-da, barcha kampaniyalarda bir xil Solana infratuzilmasidan foydalanilgan."
Xavfsizlik kompaniyalari ma’lumotlariga ko‘ra, ushbu kampaniya allaqachon 150 dan ortiq GitHub loyihalariga ta’sir ko‘rsatgan. Ba’zi hollarda zararli kod hatto ko‘rinmas Unicode belgilar yordamida yashirilgan, bu esa uni aniqlashni yanada qiyinlashtiradi.
Bu hujum ayniqsa xavfli hisoblanadi, chunki u supply chain attack turiga kiradi. Ya’ni foydalanuvchi o‘zi ishonadigan manbadan kod yuklab oladi, ammo aslida o‘sha kod allaqachon zararlangan bo‘ladi.
Natijada foydalanuvchining:
- kriptovalyutalari
- shaxsiy ma’lumotlari
- tizim xavfsizligi
jiddiy xavf ostida qoladi.
Mutaxassislar foydalanuvchilarga ehtiyot bo‘lishni tavsiya qilmoqda. Ayniqsa, noma’lum repozitoriylardan kod yuklab olishdan oldin uni tekshirish, GitHub akkauntlarda ikki bosqichli himoyani yoqish va shubhali dasturiy kengaytmalardan voz kechish muhim.
