Зловреден софтуер GlassWorm v2
Изследователи по киберсигурност разкриха мащабна злонамерена кампания, включваща десетки разширения на Microsoft Visual Studio Code (VS Code), хоствани в хранилището на Open VSX. Операцията, проследявана като GlassWorm, е фокусирана върху кражба на чувствителна информация от разработчици и компрометиране на среди за разработка.
Разследващите откриха 73 подозрителни разширения, които имитират легитимни инструменти. Шест от тях са потвърдени като злонамерени, докато останалите изглежда функционират като спящи „спящи“ пакети, предназначени да спечелят доверието на потребителите, преди по-късно да бъдат използвани като оръжие чрез актуализации.
Всички идентифицирани разширения са качени в началото на април 2026 г. От 21 декември 2025 г. насам изследователите са свързали повече от 320 злонамерени артефакта с по-широката инфраструктура на GlassWorm.
Съдържание
Потвърдени злонамерени разширения
Следните разширения на Open VSX са потвърдени като вредни:
- outsidestormcommand.monochromator-theme
- keyacrosslaud.auto-loop-for-antigravity
- krundoven.ironplc-бърз-хъб
- boulderzitunnel.vscode-buddies
- cubedivervolt.html-код-валидация
- Winnerdomain17.version-lens-tool
Социално инженерство чрез клонирани пакети
Много от разширенията за „спящи“ кодове имитират надеждни пакети чрез тактики за типосквотинг. Например, нападателите са използвали подвеждащи имена като CEINTL.vscode-language-pack-tr вместо легитимното Emotionkyoseparate.turkish-language-pack.
За да засилят доверието, тези фалшиви разширения също копираха оригиналните икони и описания. Тази стратегия за „визуално доверие“ помага на атакуващите да увеличат броя на инсталациите по естествен път, като правят пакетите да изглеждат автентични и безопасни.
Атакуващите преминават към по-скрити техники за доставка
Изследователите съобщават, че операторите на GlassWorm активно усъвършенстват методите си, за да избегнат откриването. Вместо да внедряват зловреден софтуер веднага, те сега разчитат на спящи пакети и скрити транзитивни зависимости, които могат да се активират по-късно.
Кампанията използва и дропъри, базирани на Zig, за да инсталира второ злонамерено VSIX разширение, хоствано на GitHub. След като бъде изпълнено, зареждащото устройство може да разпространи полезния товар в множество интегрирани среди за разработка (IDE), инсталирани на една и съща система.
Множество IDE са изложени на риск
Зловредният софтуер е способен да идентифицира и зарази няколко платформи за разработчици чрез командата --install-extension, включително:
- Microsoft срещу Code
- Курсор
- Уиндсърф
- VSCodium
Краен полезен товар, предназначен за кражба на данни и дистанционно управление
Независимо от първоначалния път на заразяване, крайната цел остава постоянна. Зловредният софтуер е проектиран да избягва системи, разположени в Русия, да събира чувствителна информация, да внедрява троянски кон за отдалечен достъп (RAT) и тайно да инсталира злонамерено разширение за браузър, базирано на Chromium.
Това разширение за браузър може да събира идентификационни данни, отметки и допълнителни съхранени данни. В някои варианти механизмът за доставяне е скрит в обфуциран JavaScript, където разширението действа само като зареждащ файл, докато истинският полезен товар се изтегля и изпълнява след активиране.
