Glasworm kampanja napada razvojne platforme - npm, PyPI i GitHub u opasnosti
Glasworm malver napada razvijače preko npm, PyPI i GitHub platformi, kradući kredencijale i instalirajući backdoor vrata, sa preko 35.800 zaraza.
Šta se desilo?
Otkrivena je sofisticirana kampanja malvera nazvana Glasworm koja ciljano napada razvijače softvera kroz zloupotrebe popularnih platformi kao što su npm, PyPI, OpenVSX i GitHub. Kampanja je počela u oktobru 2025. godine, prvo kroz zlonamerne Visual Studio Code ekstenzije, a od tada se proširila na Python pakete, React Native module i AI razvojne alate. U prvoj talasu zaraza je zahvatilo oko 35.800 razvijača.
Koga pogađa?
Primarni cilj su softverski razvijači i inženjeri koji koriste VS Code, Python okruženja i Node.js ekosisteme. Međutim, rizik se širi dalje - kompromitovani razvojni računi mogu dovesti do zaraze celog korporativnog okruženja, Cloud infrastrukture i povezanih repozitorijuma. Posebno su ugrožene organizacije koje zapošljavaju timove razvijača sa deljenim sistemima i pristupima za upravljanje projekata.
Kako se zaštititi?
- Redovno pregledajte i uklonite sve neprepoznate VS Code i Cursor ekstenzije sa vaših mašina
- Odmah rotirujte GitHub tokene, SSH ključeve i Cloud kredencijale na bilo kom sistemu koji je mogao biti izložen
- Omogućite dvofaktorsku autentifikaciju na svim razvojnim platformama i Cloud servisima
- Proverite Git istoriju repozitorijuma za sumnjive commit-e ili force-push operacije
- Nadgledajte izlazne konekcije prema Solana RPC endpointa i nepoznatim IP adresama u mreži
- Sprovedi audit svih instaliranih ekstenzija na organizacionom nivou
- Edukuj razvijače da ne instaliraju ekstenzije od nepoznatih ili neverifikovanih izdavača
Tehnički detalji
Glasworm koristi višestepeni napad - prvi stepen je loader, drugi krade kredencijale i novčanike kriptovaluta, a treći instališe perzistentnu backdoor vrata preko WebSocket-a. Malver koristi Solana blockchain kao C2 infrastrukturu čitajući instrukcije iz transakcija vezanih za specifičan Solana novčanik (BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC). Plaćanja se vrše iz novčanika G2YxRa6wt1qePMwfJzdXZG62ej4qaTC7YURzuh2Lwd3t. Malver koristi nevidljive Unicode karaktere u kodu kao sredstvo sakrivenosti i AES enkriptovanje sa ključevima dostavljenim samo kroz HTTP header-e. Izvršavanje se preskače na sistemima sa ruskom lokalnom postavkom. IP adresa C2 servera je 45.32.151.157. Zlonamerni npm paketi iz React Native ekosistema su primali preko 30.000 preuzimanja nedeljno.
Preporuka Sajber Radara
Glasworm predstavlja značajnu pretnju za ceo razvoj softvera jer eksploatira poverenje koje razvijači imaju prema legitimnim platformama. Hitno je potrebno sprovesti čitav sigurnosni pregled razvoja i primeniti stroge kontrole pri instalaciji ekstenzija i paketa. Kompanije trebaju bez odlaganja da rotiraju sve kritične kredencijale svojih razvijača i implementiraju kontinuirani monitoring za detektovanje sličnih kampanja u budućnosti.
