GlassWorm wykorzystuje dead dropy w Solanie do dostarczania RAT i kradzieży danych przeglądarki oraz kryptowalut - Security Bez Tabu

GlassWorm wykorzystuje dead dropy w Solanie do dostarczania RAT i kradzieży danych przeglądarki oraz kryptowalut

Cybersecurity news

Wprowadzenie do problemu / definicja

GlassWorm to zaawansowana kampania malware powiązana z atakami na łańcuch dostaw oprogramowania. W najnowszej odsłonie zagrożenie łączy złośliwe pakiety i zatrute aktualizacje z mechanizmem ukrywania infrastruktury C2 opartym na blockchainie Solana, który pełni rolę dead drop resolvera.

W praktyce oznacza to, że złośliwe oprogramowanie nie musi zawierać na stałe zakodowanego adresu serwera sterującego. Zamiast tego może dynamicznie pobierać dane konfiguracyjne z informacji umieszczonych w transakcjach, co utrudnia blokowanie i analizę infrastruktury napastników.

W skrócie

  • GlassWorm wykorzystuje Solanę do pobierania informacji o serwerach C2.
  • Kampania łączy infostealera, RAT, phishing portfeli sprzętowych i przejęcie danych przeglądarkowych.
  • Malware kradnie cookies, tokeny sesyjne, historię przeglądania, dane portfeli kryptowalutowych, zrzuty ekranu i naciśnięcia klawiszy.
  • Ataki obejmują również fałszywe rozszerzenie podszywające się pod Google Docs Offline.
  • Użytkownicy Ledger i Trezor są wabieni do ujawnienia seed phrase przez spreparowane komunikaty.

Kontekst / historia

GlassWorm był wcześniej łączony z długotrwałą aktywnością wymierzoną w ekosystem deweloperski. Operatorzy zagrożenia publikowali złośliwe pakiety w popularnych repozytoriach, nadużywali platform kodu oraz przejmowali konta maintainerów, aby rozprowadzać skażone aktualizacje.

Takie podejście wpisuje się w szerszy trend ataków supply chain, w których ofiara instaluje pozornie legalny komponent z zaufanego źródła. Najnowsza analiza pokazuje jednak dalszą ewolucję tej kampanii: celem nie jest już tylko kradzież danych z hosta, ale także przejęcie aktywów kryptowalutowych, utrzymanie dostępu i zwiększenie odporności infrastruktury na zakłócenia.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od zainfekowanego pakietu lub komponentu dostarczonego przez skompromitowany kanał dystrybucji. Po uruchomieniu malware analizuje środowisko ofiary i unika infekowania systemów z rosyjską lokalizacją, a następnie pobiera dane potrzebne do dalszej komunikacji z infrastrukturą operatora.

Najważniejszym elementem kampanii jest użycie Solany jako dead drop resolvera. Zamiast przechowywać adres C2 bezpośrednio w kodzie, malware odczytuje go z memo zapisanych w transakcjach blockchain. W części łańcucha infekcji wykorzystywane jest także publiczne wydarzenie w Google Calendar jako dodatkowy kanał pozyskiwania konfiguracji.

Drugi etap obejmuje framework do kradzieży danych, który zbiera poświadczenia, profiluje system i przechwytuje informacje związane z portfelami kryptowalutowymi. Dane są następnie pakowane do archiwum i eksfiltrowane na serwery kontrolowane przez napastników.

Jednym z modułów jest binarium .NET ukierunkowane na phishing portfeli sprzętowych. Komponent wykorzystuje WMI do wykrywania podłączenia urządzeń USB. Po wykryciu Ledger lub Trezor użytkownik otrzymuje fałszywy komunikat błędu i formularz zachęcający do wpisania 24-wyrazowej frazy odzyskiwania. Dodatkowo legalna aplikacja może być zamykana, a okno phishingowe wyświetlane ponownie.

Kolejny istotny element to JavaScriptowy RAT komunikujący się przez WebSocket. Moduł wykorzystuje rozproszoną tablicę skrótów do pozyskiwania konfiguracji, a w razie niepowodzenia wraca do mechanizmu opartego na Solanie. RAT umożliwia m.in. uruchomienie HVNC, zestawienie tunelu SOCKS z użyciem WebRTC, pobieranie danych z przeglądarek, wykonywanie kodu JavaScript i przesyłanie informacji systemowych.

Szczególnie groźny jest moduł odpowiedzialny za kradzież danych z przeglądarek takich jak Chrome, Edge, Brave, Opera, Opera GX, Vivaldi i Firefox. Według opisu badaczy potrafi on obchodzić mechanizmy ochronne Chrome App-Bound Encryption, zwiększając skuteczność pozyskiwania lokalnie przechowywanych danych.

Na Windows i macOS malware instaluje również rozszerzenie Chrome podszywające się pod Google Docs Offline. Rozszerzenie może zbierać cookies, localStorage, drzewo DOM aktywnej karty, zakładki, zrzuty ekranu, naciśnięcia klawiszy, zawartość schowka, historię przeglądania oraz listę zainstalowanych dodatków. Analiza wskazuje też na monitorowanie wybranych serwisów, w tym reguły powiązane z platformami kryptowalutowymi.

Konsekwencje / ryzyko

GlassWorm jest zagrożeniem wysokiego ryzyka, ponieważ łączy kilka klas ataków w jednym łańcuchu operacyjnym. Dla użytkowników indywidualnych oznacza to możliwość utraty haseł, aktywnych sesji, danych z przeglądarek oraz środków przechowywanych w portfelach kryptowalutowych.

Dla organizacji szczególnie niebezpieczne jest to, że punkt wejścia może stanowić pozornie legalny pakiet deweloperski lub rozszerzenie. Taka infekcja może prowadzić do przejęcia kont uprzywilejowanych, tokenów sesyjnych do usług SaaS, danych z narzędzi programistycznych oraz lokalnie zapisanych sekretów. Możliwość uruchamiania HVNC i tuneli proxy dodatkowo zwiększa potencjał do ruchów bocznych i ukrywania aktywności operatora.

Wykorzystanie blockchaina oraz zewnętrznych usług jako dead dropów podnosi odporność infrastruktury napastników na blokowanie. Z kolei złośliwe rozszerzenie przeglądarkowe pozwala przechwytywać dane już po uwierzytelnieniu, co czyni samą ochronę haseł niewystarczającą.

Rekomendacje

Organizacje powinny zaostrzyć kontrolę pochodzenia pakietów i rozszerzeń instalowanych w środowiskach deweloperskich. Konieczne jest weryfikowanie wydawców, historii publikacji, integralności paczek oraz ograniczanie instalacji komponentów spoza zatwierdzonych rejestrów.

W warstwie endpointów warto monitorować nietypowe procesy potomne uruchamiane przez narzędzia deweloperskie, aktywność WMI związaną z wykrywaniem urządzeń USB, podejrzane instalacje rozszerzeń przeglądarkowych oraz anomalie w ruchu WebSocket i WebRTC.

Zespoły bezpieczeństwa powinny rozwijać detekcję prób dostępu do magazynów cookies, tokenów sesyjnych, localStorage i historii przeglądania. W środowiskach o podwyższonym ryzyku należy rozważyć blokowanie nieautoryzowanych rozszerzeń oraz stosowanie list dozwolonych dodatków.

Użytkownicy portfeli sprzętowych powinni pamiętać, że legalne aplikacje nie proszą o podanie pełnej frazy odzyskiwania w oknie systemowym po podłączeniu urządzenia. Każdy taki komunikat należy traktować jako próbę phishingu. Dobrym podejściem jest także oddzielenie systemów używanych do operacji kryptowalutowych od codziennej pracy.

W przypadku podejrzenia infekcji należy przeanalizować zainstalowane pakiety i rozszerzenia, unieważnić aktywne sesje, zresetować poświadczenia i klucze oraz sprawdzić system pod kątem artefaktów powiązanych z kampanią GlassWorm.

Podsumowanie

GlassWorm pokazuje, że współczesne kampanie malware coraz skuteczniej łączą ataki supply chain, kradzież danych, phishing portfeli sprzętowych i nadużycia rozszerzeń przeglądarkowych. Wykorzystanie Solany jako dead drop resolvera dodatkowo utrudnia wykrywanie i neutralizację infrastruktury sterującej.

Dla obrońców najważniejszy wniosek jest prosty: pakiety, rozszerzenia i sesje przeglądarkowe muszą być traktowane jako krytyczna powierzchnia ataku. Skuteczna ochrona wymaga połączenia kontroli aplikacyjnych, telemetrii endpointowej, monitoringu przeglądarek oraz ciągłej walidacji zaufania do komponentów zewnętrznych.

Źródła

  1. The Hacker News — GlassWorm Malware Uses Solana Dead Drops to Deliver RAT and Steal Browser, Crypto Data — https://thehackernews.com/2026/03/glassworm-malware-uses-solana-dead.html
  2. Aikido Security — analiza kampanii GlassWorm — https://www.aikido.dev/
  3. Koi Security — obserwacje dotyczące GlassWorm i MCP — https://www.koi.ai/
  4. AFINE — Glassworm-hunter — https://afine.com/
  5. GitHub — glassworm-hunter — https://github.com/