蠕蟲程式GlassWorm染指瀏覽器擴充套件，Chrome外掛恐遭植入遠端控制木馬

3月18日資安公司Aikido提出警告，GlassWorm供應鏈攻擊再度升級，攻擊者開始鎖定Chrome延伸套件，並在套件植入以WebSocket為基礎的RAT木馬，進一步擴大感染範圍至終端使用者環境。這起事故的發現，代表攻擊者正全面滲透開發者生態，從開發環境一路延伸至終端使用者。

這波活動鎖定開發者與使用者常用的Chrome延伸套件，攻擊者透過入侵或控制套件發布流程，在新版本加入惡意程式碼，導致使用者在安裝或更新套件時即遭感染。

此惡意程式會於瀏覽器載入擴充套件時執行，並透過Google行事曆與C2伺服器建立連線，使攻擊者可遠端控制受害裝置。該RAT具備多項功能，包括Chrome應用程式綁定加密機制的忽略（Chrome App-Bound Encryption bypass）、擷取瀏覽器帳密，也內建HVNC模組，供攻擊者遠端存取受害電腦。此外，駭客也透過特定的二進位檔案，企圖對使用者發動釣魚攻擊，洗劫Ledger和Trezor加密貨幣錢包。

Aikido指出，這類攻擊特別危險之處在於，瀏覽器延伸套件通常具備高權限，可存取Cookie、瀏覽記錄與頁面內容，一旦遭濫用，攻擊者可進一步竊取登入憑證與敏感資料。

此外，GlassWorm延續其過往攻擊特徵，採用高度隱匿技術，例如混淆程式碼與延遲執行機制，以避開安全檢測。部分樣本也會透過遠端伺服器動態載入惡意模組，使攻擊行為更具彈性。

值得留意的是，駭客也打算對應用程式框架React Native下手，Aikido於3月16日發現，GlassWorm感染了兩個適用於該框架的NPM套件，若是開發者不慎安裝，其Windows憑證可能就會被擷取，加密貨幣也會遭到清空。這些NPM套件最近一個月被下載近13.5萬次，影響恐怕相當廣泛。