**GlassWorm**マルウェアキャンペーンが進化し、盗まれた**GitHub**トークンを使用して数百のPythonリポジトリに悪意のあるコードを注入する攻撃を燃料としています。ForceMemoと名付けられたこの新しい派生は、サプライチェーン攻撃がもたらす継続的な脅威を示しています。 ### ForceMemo：詳細な分析 **StepSecurity**によると、これらの注入の最初の兆候は2026年3月8日に遡ります。攻撃者は開発者アカウントにアクセスし、標的となったリポジトリのデフォルトブランチにある最新の正当なコミットを悪意のあるコードでリベースします。重要なのは、検出を回避するために、元のコミットメッセージ、作成者、作成日を維持しながらforce-pushを使用して既存の履歴を上書きすることです。 「侵害されたリポジトリから`pip install`を実行したユーザー、またはコードをクローンして実行したユーザーは、マルウェアをトリガーします」と**StepSecurity**は警告しています。 ### 攻撃チェーン ForceMemo攻撃は4つの主要な段階で展開されます。 1. **初期侵害**：開発者システムは、悪意のある**VS Code**および**Cursor**拡張機能を通じて、**GlassWorm**マルウェアに感染します。このマルウェア亜種には、**GitHub**トークンを含むシークレットを盗むために特別に設計されたコンポーネントが含まれています。 2. **認証情報悪用**：盗まれた認証情報は、侵害された**GitHub**アカウントが管理するすべてのリポジトリに悪意のある変更をforce-pushするために使用されます。攻撃は、難読化されたマルウェアを`setup.py`、`main.py`、または`app.py`という名前のPythonファイルにリベースします。 3. **ペイロード配信**：Base64エンコードされたペイロードがPythonファイルの末尾に追加されます。このペイロードには、システムのロケールがロシア語に設定されているかどうかを確認するチェックが含まれています。設定されている場合は、実行がスキップされます。それ以外の場合、マルウェアは、**GlassWorm**に以前リンクされていた**Solana**ウォレット（`BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC`）に関連付けられたトランザクションメモフィールドをクエリして、ペイロードURLを抽出します。 4. **データ漏洩**：暗号化されたJavaScriptを含む追加のペイロードがサーバーからダウンロードされます。このJavaScriptは、仮想通貨やその他の機密データを盗むように設計されています。  ### 持続性と回避 「C2アドレスでの最初のトランザクションは2025年11月27日に遡り、2026年3月8日の最初の**GitHub**リポジトリへの注入の3か月以上前です」と**StepSecurity**は述べています。攻撃者はペイロードURLを定期的に更新しており、時には1日に複数回更新することもあり、攻撃の効果を維持するためのコミットメントを示しています。 **Socket**も、`extensionPack`および`extensionDependencies`を活用してトランジティブペイロード配布を改善し、生存性と回避性を向上させた**GlassWorm**の新しいイテレーションを警告しています。 ### より広範なキャンペーンと帰属 **Aikido Security**は、不可視のUnicode文字で隠された悪意のあるコードを使用して151以上の**GitHub**リポジトリを侵害した大規模キャンペーンの作者を**GlassWorm**に帰属させています。デコードされたペイロードは同じ**Solana**ウォレットからC2命令を取得しており、**GitHub**リポジトリを標的とした協調的で持続的な取り組みを示唆しています。 共有された**Solana**インフラストラクチャと、異なる配信および難読化手法の組み合わせは、ForceMemoが**GlassWorm**の脅威アクターによって維持されている新しい配信ベクトルであることを強く示唆しています。このアクターは、**VS Code**拡張機能の侵害から、より広範な**GitHub**アカウントの乗っ取りへと拡大しました。 ### 新しい注入技術 「攻撃者は、侵害されたリポジトリのデフォルトブランチにforce-pushすることでマルウェアを注入します」と**StepSecurity**は強調しています。「この技術はgit履歴を書き換え、元のコミットメッセージと作成者を保持し、**GitHub**のUIにプルリクエストやコミットの痕跡を残しません。他に文書化されたサプライチェーンキャンペーンでこの注入方法を使用しているものはありません。」