El Gusano de vidrio La campaña de malware se utiliza para alimentar un ataque continuo que aprovecha los tokens de GitHub robados para inyectar malware en cientos de repositorios de Python.

«El ataque se dirige a proyectos de Python, incluidas las aplicaciones de Django, el código de investigación de ML, los paneles de Streamlit y los paquetes PyPI, añadiendo código ofuscado a archivos como setup.py, main.py y app.py», StepSecurity dijo . «Cualquiera que ejecute pip install desde un repositorio comprometido o clone y ejecute el código activará el malware».

Según la empresa de seguridad de la cadena de suministro de software, las primeras inyecciones se remontan al 8 de marzo de 2026. Los atacantes, al acceder a las cuentas de los desarrolladores, rebasando las últimas confirmaciones legítimas en la rama predeterminada de los repositorios de destino con código malintencionado y, a continuación, forzar la introducción de los cambios, manteniendo intactos el mensaje, el autor y la fecha del autor de la confirmación original.

adsense

Esta nueva rama de la campaña GlassWorm lleva el nombre en código ForceMemo. El ataque se desarrolla a través de los siguientes cuatro pasos:

  • Comprometa los sistemas de los desarrolladores con el malware GlassWorm mediante extensiones maliciosas de VS Code y Cursor. El malware contiene un componente dedicado a robar secretos, como los tokens de GitHub.
  • Usa las credenciales robadas para forzar la introducción de cambios malintencionados en todos los repositorios gestionados por la cuenta de GitHub violada rebasando el malware ofuscado en archivos de Python con los nombres "setup.py», "main.py» o «app.py».
  • La carga útil codificada en Base64, que se adjunta al final del archivo de Python, incluye comprobaciones similares a las de Glassworm para determinar si el sistema tiene su configuración regional configurada en ruso. Si es así, omite la ejecución. En todos los demás casos, el malware consulta el campo de nota de transacción asociado a una billetera Solana («bjveajprskfiingbn4vzvghsgj9kce8ajvtbc9s8o8sc») enlazado anteriormente a GlassWorm para extraer la URL de la carga útil.
  • Descarga cargas útiles adicionales del servidor, incluido JavaScript cifrado diseñado para robar criptomonedas y datos.

«La primera transacción en la dirección C2 data del 27 de noviembre de 2025, más de tres meses antes de las primeras inyecciones de repositorios de GitHub el 8 de marzo de 2026», afirma StepSecurity. «La dirección tiene un total de 50 transacciones, y el atacante actualiza periódicamente la URL de carga útil, a veces varias veces al día».

La divulgación se presenta como Socket marcado una nueva versión de GlassWorm que técnicamente conserva la misma habilidad básica y, al mismo tiempo, mejora la capacidad de supervivencia y la evasión al aprovechar ExtensionPack y ExtensionDependencies para entregar la carga maliciosa mediante un modelo de distribución transitivo.

enlaces

En conjunto, Aikido Security también atribuido el autor de GlassWorm de una campaña masiva que comprometió más de 151 repositorios de GitHub con código malicioso oculto mediante caracteres Unicode invisibles. Curiosamente, la carga útil decodificada está configurada para obtener las instrucciones del C2 de la misma cartera de Solana, lo que indica que el autor de la amenaza ha estado atacando los repositorios de GitHub en varias oleadas.

El uso de diferentes métodos de entrega y métodos de ofuscación de código, pero la misma infraestructura de Solana, sugiere que ForceMemo es un nuevo vector de entrega mantenido y operado por el actor de amenazas GlassWorm, que ahora ha pasado de comprometer las extensiones de VS Code a una toma de posesión más amplia de cuentas de GitHub.

«El atacante inyecta malware empujándolo por la fuerza a la rama predeterminada de los repositorios comprometidos», señala StepSecurity. «Esta técnica reescribe el historial de git, conserva el mensaje de confirmación y el autor originales y no deja ninguna solicitud de cambios ni ningún rastro de confirmación en la interfaz de usuario de GitHub. Ninguna otra campaña de cadena de suministro documentada utiliza este método de inyección».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.