GlassWorm v2 ম্যালওয়্যার

সাইবার নিরাপত্তা গবেষকরা ওপেন ভিএসএক্স রিপোজিটরিতে হোস্ট করা কয়েক ডজন মাইক্রোসফট ভিজ্যুয়াল স্টুডিও কোড (ভিএস কোড) এক্সটেনশনকে জড়িত একটি বড় আকারের ক্ষতিকারক অভিযান উন্মোচন করেছেন। গ্লাসওয়ার্ম নামে পরিচিত এই কার্যক্রমটির মূল লক্ষ্য হলো ডেভেলপারদের কাছ থেকে সংবেদনশীল তথ্য চুরি করা এবং ডেভেলপমেন্ট এনভায়রনমেন্টকে ঝুঁকিতে ফেলা।

তদন্তকারীরা ৭৩টি সন্দেহজনক এক্সটেনশন খুঁজে পেয়েছেন যেগুলো বৈধ টুলের অনুকরণ করে। এগুলোর মধ্যে ছয়টিকে ক্ষতিকর হিসেবে চিহ্নিত করা হয়েছে, আর বাকিগুলো সুপ্ত 'স্লিপার' প্যাকেজ হিসেবে কাজ করে বলে মনে হচ্ছে, যেগুলো ব্যবহারকারীর বিশ্বাস অর্জনের জন্য ডিজাইন করা হয়েছে এবং পরে আপডেটের মাধ্যমে সেগুলোকে মারাত্মক অস্ত্রে পরিণত করা হয়।

শনাক্তকৃত সমস্ত এক্সটেনশন ২০২৬ সালের এপ্রিল মাসের শুরুতে আপলোড করা হয়েছিল। ২০২৫ সালের ২১শে ডিসেম্বর থেকে গবেষকরা ৩২০টিরও বেশি ক্ষতিকারক উপাদানকে বৃহত্তর গ্লাসওয়ার্ম পরিকাঠামোর সাথে যুক্ত করেছেন।

নিশ্চিত বিদ্বেষপূর্ণ সম্প্রসারণ

নিম্নলিখিত Open VSX এক্সটেনশনগুলি ক্ষতিকর হিসেবে নিশ্চিত করা হয়েছে:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• বোল্ডারজিটানেল.ভিএসকোড-বাডিজ
• cubedivervolt.html-কোড-ভ্যালিডেট
• Winnerdomain17.version-lens-tool

ক্লোন প্যাকেজের মাধ্যমে সামাজিক প্রকৌশল

অনেক স্লিপার এক্সটেনশন টাইপোস্কোয়াটিং কৌশলের মাধ্যমে বিশ্বস্ত প্যাকেজগুলোকে হুবহু অনুকরণ করে। উদাহরণস্বরূপ, আক্রমণকারীরা বৈধ Emotionkyoseparate.turkish-language-pack-এর পরিবর্তে CEINTL.vscode-language-pack-tr-এর মতো প্রতারণামূলক নামকরণ ব্যবহার করেছে।

বিশ্বাসযোগ্যতা বাড়াতে, এই নকল এক্সটেনশনগুলো আসল আইকন এবং বিবরণও নকল করেছে। এই 'দৃশ্যগত বিশ্বাসযোগ্যতা' কৌশলটি প্যাকেজগুলোকে খাঁটি ও নিরাপদ হিসেবে উপস্থাপন করে আক্রমণকারীদের স্বাভাবিকভাবে ইনস্টলেশনের সংখ্যা বাড়াতে সাহায্য করে।

আক্রমণকারীরা আরও গোপনীয় আক্রমণ কৌশলে ঝুঁকছে

গবেষকরা জানাচ্ছেন যে, গ্লাসওয়ার্ম অপারেটররা শনাক্তকরণ এড়ানোর জন্য সক্রিয়ভাবে তাদের পদ্ধতি উন্নত করছে। ম্যালওয়্যার তাৎক্ষণিকভাবে স্থাপন করার পরিবর্তে, তারা এখন স্লিপার প্যাকেজ এবং লুকানো ট্রানজিটিভ ডিপেন্ডেন্সির উপর নির্ভর করে, যা পরে সক্রিয় হতে পারে।

এই ক্যাম্পেইনটি গিটহাবে হোস্ট করা দ্বিতীয় একটি ক্ষতিকর VSIX এক্সটেনশন ইনস্টল করার জন্য জিগ-ভিত্তিক ড্রপারও ব্যবহার করে। একবার চালু হলে, এই লোডারটি একই সিস্টেমে ইনস্টল করা একাধিক ইন্টিগ্রেটেড ডেভেলপমেন্ট এনভায়রনমেন্ট (IDE)-এ পেলোডটি ছড়িয়ে দিতে পারে।

একাধিক IDE ঝুঁকিতে রয়েছে

এই ম্যালওয়্যারটি --install-extension কমান্ডের মাধ্যমে বেশ কয়েকটি ডেভেলপার প্ল্যাটফর্ম শনাক্ত ও সংক্রমিত করতে সক্ষম, যার মধ্যে রয়েছে:

• মাইক্রোসফট ভিএস কোড
• কার্সার
• উইন্ডসার্ফ
• ভিএসসিওডিয়াম

ডেটা চুরি এবং রিমোট কন্ট্রোলের জন্য ডিজাইন করা চূড়ান্ত পেলোড

প্রাথমিক সংক্রমণের পথ যাই হোক না কেন, চূড়ান্ত উদ্দেশ্য একই থাকে। ম্যালওয়্যারটি এমনভাবে তৈরি করা হয়েছে যাতে এটি রাশিয়ায় অবস্থিত সিস্টেমগুলোকে এড়িয়ে চলে, সংবেদনশীল তথ্য সংগ্রহ করে, একটি রিমোট অ্যাক্সেস ট্রোজান (RAT) স্থাপন করে এবং গোপনে একটি ক্ষতিকর ক্রোমিয়াম-ভিত্তিক ব্রাউজার এক্সটেনশন ইনস্টল করে।

ঐ ব্রাউজার এক্সটেনশনটি ক্রেডেনশিয়াল, বুকমার্ক এবং অতিরিক্ত সংরক্ষিত ডেটা ক্যাপচার করতে পারে। কিছু সংস্করণে, ডেলিভারি প্রক্রিয়াটি দুর্বোধ্য জাভাস্ক্রিপ্টের ভেতরে লুকানো থাকে, যেখানে এক্সটেনশনটি শুধুমাত্র একটি লোডার হিসেবে কাজ করে এবং অ্যাক্টিভেশনের পর আসল পেলোডটি ডাউনলোড ও এক্সিকিউট করা হয়।