Onderzoekers hebben een nieuwe variant van de GlassWorm-campagne geïdentificeerd die een geavanceerd multi-stage framework inzet voor uitgebreide datadiefstal en het installeren van een remote access trojan (RAT). Deze malwaremaskeert zich als een offline Google Docs-extensie voor Chrome en verzamelt onder meer toetsaanslagen, cookies, sessietokens, screenshots en voert opdrachten uit van een command-and-control (C2) server die verborgen is in een memo op de Solana blockchain.

GlassWorm krijgt een initiële toegang via kwaadaardige pakketten die verspreid worden via npm, PyPI, GitHub en de Open VSX-marktplaats. Daarnaast worden accounts van projectbeheerders gecompromitteerd om besmette updates te verspreiden. De aanval vermijdt systemen met een Russische taalinstelling en gebruikt Solana-transacties als een zogenoemde dead drop om de C2-server te achterhalen en besturingssysteem-specifieke payloads te downloaden. De tweede fase van de aanval bestaat uit een datadiefstalframework dat credentials, cryptocurrency wallets en systeemprofielen verzamelt. De gestolen data wordt gecomprimeerd en naar een externe server gestuurd.

Vervolgens worden twee extra componenten opgehaald: een .NET-binary die hardware wallet phishing uitvoert en een JavaScript RAT die via Websocket browserdata steelt en willekeurige code kan uitvoeren. De .NET-module detecteert aangesloten USB-apparaten en toont phishingvensters bij het aansluiten van Ledger- of Trezor-wallets, waarbij gebruikers worden verleid hun herstelzinnen in te voeren. De malware sluit echte Ledger Live-processen af en toont het phishingvenster opnieuw als het wordt gesloten. Het doel is om de wallet recovery phrase te onderscheppen en naar een externe server te verzenden.

De RAT gebruikt een Distributed Hash Table (DHT) om C2-gegevens op te halen en schakelt bij uitval over op de Solana dead drop. Via de server kan de RAT diverse opdrachten uitvoeren, waaronder het starten van een Hidden Virtual Network Computing-module voor remote desktop toegang, het activeren van een WebRTC SOCKS-proxy, het stelen van browserdata van diverse browsers en het uitvoeren van JavaScript-code. Daarnaast installeert de malware een kwaadaardige Google Chrome-extensie die uitgebreide browsergegevens verzamelt, zoals cookies, lokale opslag, DOM-structuren, bladwijzers, screenshots, toetsaanslagen, klembordinhoud, browsergeschiedenis en geïnstalleerde extensies.