La campagna malware GlassWorm sta mostrando una nuova evoluzione che combina tecniche di supply chain attack con un framework multistadio pensato per il furto di dati e la distribuzione di un RAT (Remote Access Trojan). Il punto di forza di questa variante è l’uso di dead drop non convenzionali come la blockchain Solana e persino Google Calendar per nascondere e recuperare le informazioni di comando e controllo, rendendo più difficile il blocco delle infrastrutture malevole.
L’infezione iniziale avviene tramite pacchetti malevoli pubblicati su ecosistemi molto usati dagli sviluppatori come npm e PyPI, oltre a repository e marketplace di estensioni. In alcuni casi vengono compromessi gli account dei maintainer per distribuire aggiornamenti avvelenati. La catena di attacco è progettata per evitare determinate aree geografiche, con controlli che impediscono l’esecuzione su sistemi con impostazioni locali russe.
Una volta ottenuto il primo accesso, GlassWorm utilizza transazioni Solana come meccanismo dead drop per recuperare l’indirizzo del server C2 e scaricare payload specifici per il sistema operativo. Lo stage successivo include funzionalità di credential harvesting, esfiltrazione di wallet crypto e profiling del sistema. I dati raccolti vengono compressi in un archivio ZIP ed esfiltrati verso un server esterno, mentre il malware prepara l’esecuzione dei componenti finali.
Tra i moduli più pericolosi compare un binario .NET che sfrutta WMI per rilevare la connessione di dispositivi USB e avviare phishing mirato contro hardware wallet Ledger e Trezor, mostrando finte schermate di errore con 24 campi per inserire la recovery phrase. Il malware può anche terminare processi legittimi e riproporre la finestra se l’utente la chiude.
In parallelo viene distribuito un RAT in JavaScript basato su WebSocket, capace di rubare dati dai browser e di eseguire codice arbitrario. Per recuperare il payload può usare un evento pubblico di Google Calendar come dead drop. Il RAT supporta comandi per HVNC, proxy SOCKS via WebRTC, furto di dati da Chrome, Edge, Brave, Opera, Vivaldi e Firefox, raccolta di informazioni di sistema ed esecuzione di comandi tramite eval. Inoltre forza l’installazione di una estensione Chrome che si presenta come Google Docs Offline e consente il furto di cookie, token, screenshot, cronologia, clipboard e dati di sessione con regole mirate anche verso siti crypto.