这波GlassWorm升级来得突然,研究人员刚把报告放出来,就把整个供应链攻击链条又拉长了一截。
Aikido安全研究员Ilyas Makari上周发文指出,新版GlassWorm先通过npm、PyPI、GitHub和Open VSX市场上的恶意包拿下初始权限,还会直接黑掉项目维护者账号推送带毒更新。整个过程避开了俄语系统,用Solana交易当死投递解析器,拉取C2服务器45.32.150.251,再下载对应操作系统的payload。
第二阶段payload是个数据窃取框架,能抓凭证、挖加密钱包、做系统画像。数据打包成ZIP后直接甩到217.69.3.152/wall这个地址。传完数据,它还会继续拉两个东西:一个.NET二进制文件专攻硬件钱包钓鱼,另一个基于WebSocket的JavaScript RAT负责浏览器数据和任意代码执行。
那个.NET文件靠WMI监控USB设备。一插上Ledger或Trezor,就弹假窗口。Ledger界面假装配置出错,给出24个编号的助记词输入框;Trezor则显示“固件验证失败,正在紧急重启”,一样是24词布局。两个窗口都有“RESTORE WALLET”按钮。真实Ledger Live进程会被杀掉,关窗就再弹。最终目标就是把助记词吐给45.150.34.158。
RAT那边更狠。它先用DHT取C2地址,拿不到就切到Solana死投递。然后建立连接,下命令玩转:开HVNC远程桌面、起SOCKS代理、偷浏览器数据、执行任意JS。支持的浏览器包括Chrome、Edge、Brave、Opera、Opera GX、Vivaldi、Firefox。它还能绕过Chrome的app-bound encryption。
更绝的是,这货强行给Windows和macOS装一个叫Google Docs Offline的Chrome扩展。扩展连上C2后,能抓cookie、localStorage、当前标签页完整DOM、书签、截图、按键、剪贴板、最多5000条历史记录和已装扩展列表。里面还预置了对Bybit的监控,专门盯secure-token和deviceid这两个cookie。一旦命中,就把认证信息和页面元数据通过webhook发回。C2还能下发重定向规则,把用户标签页强行跳到攻击者控制的页面。
最近GlassWorm又多了一手,发布了伪装成WaterCrawl Model Context Protocol服务器的npm包@ iflow-mcp/watercrawl-watercrawl-mcp。Koi研究员Lotan Sery说,这是他们第一次确认进入MCP生态。随着AI辅助开发速度飞快,MCP服务器默认被高度信任,这波不会是最后一次。
开发者现在得多个心眼。装Open VSX扩展、npm包、MCP服务器前,先查查发布者名字、包的历史记录,别光看下载量就信了。波兰公司AFINE开源了一个Python工具glassworm-hunter,专门扫本地payload。它扫描时零网络请求,不打电话回家,不自动更新,只读本地文件。想更新IoC库才连GitHub。
整个攻击链条显示,攻击者把区块链死投递、供应链投毒、硬件钱包钓鱼、浏览器扩展结合得越来越紧。Solana在这儿扮演了隐蔽信道的角色,C2藏在交易memo里,极难追踪。RAT还能通过Google日历事件当第二跳死投递,层层伪装。
当前市场里,SOL报$92.13(涨3.25%),这波攻击偏偏挑中Solana做死投递,多少有点讽刺。加密用户本来就爱在链上玩,现在连恶意软件都学会用链上memo传指令了。
浏览器扩展这一手尤其阴。假Google Docs Offline直接绕过不少安全习惯,用户以为是离线文档工具,结果成了实时监控器。针对Bybit的预置规则,说明攻击者清楚加密交易平台的cookie价值。
硬件钱包钓鱼窗口做得精细,杀掉真实进程防止冲突,关窗重弹增加成功率。24词输入框设计直击用户心理,很多人慌乱中真会填。
供应链攻击的老路子没丢,反而更精准。黑维护者账号、发假包、进MCP生态,一步步扩大攻击面。AI开发工具链的信任模型,正好给了他们新空间。
安全团队已经把相关IoC放出来,开发者最好跑一遍glassworm-hunter。普通用户也该检查浏览器扩展列表,把来路不明的全删,尤其是名字像Google Docs Offline的。
这场战役还在继续。GlassWorm从npm起步,到现在玩Solana死投递、硬件钓鱼、浏览器接管,每一步都把攻击成本拉低,把隐蔽性拉高。加密圈和开发者群体,得把警惕性再提一提,否则下一个中招的,很可能就是自己钱包里的那串助记词。