GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer.
GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer
GlassWorm kampanjen har utviklet en ny angrepsmetode kalt ForceMemo, hvor angripere bruker stjålne GitHub tokens til å få tilgang til utviklerkontoer og injisere skadelig kode i Python repositorier. Angrepet innebærer at angriperne rebaser legitime commits med ondsinnet kode og deretter force pusher dette til hovedbranchen samtidig som original commit informasjonen som melding der forfatter og dato beholdes. Dette gjør angrepet svært vanskelig å oppdage siden det ikke etterlater synlige spor som pull requests eller endringshistorikk i GitHub grensesnittet.
Kampanjen har vært aktiv siden minst 8. mars 2026, og benytter også en C2 infrastruktur knyttet til kryptotransaksjoner hvor payload URLer oppdateres hyppig. Dette er første kjente supply chain angrep som bruker denne typen historikkmanipulasjon for å skjule ondsinnede endringer.
Organisasjoner bør rotere alle GitHub tokens og andre kompromitterte brukerdetaljer umiddelbart. Det anbefales også å overvåke repositories for uautoriserte force pushes, implementere strengere tilgangskontroll og bruke sikkerhetsverktøy som kan oppdage uvanlige endringer i commit historikk. Videre bør man aktivere logging og varsling for kontoaktivitet og sikre bruk av multifaktorautentisering for utviklerkontoer.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.