Malware GlassWorm v2

Výzkumníci v oblasti kybernetické bezpečnosti odhalili rozsáhlou škodlivou kampaň zahrnující desítky rozšíření Microsoft Visual Studio Code (VS Code) hostovaných na repozitáři Open VSX. Operace, sledovaná jako GlassWorm, se zaměřuje na krádež citlivých informací od vývojářů a ohrožení vývojových prostředí.

Vyšetřovatelé objevili 73 podezřelých rozšíření, která napodobují legitimní nástroje. Z nich bylo šest ověřeno jako škodlivé, zatímco zbytek zřejmě fungují jako spící balíčky určené k získání důvěry uživatelů, než budou později zneužity jako zbraň prostřednictvím aktualizací.

Všechna identifikovaná rozšíření byla nahrána začátkem dubna 2026. Od 21. prosince 2025 vědci propojili více než 320 škodlivých artefaktů s širší infrastrukturou GlassWorm.

Potvrzená škodlivá rozšíření

Následující rozšíření Open VSX byla potvrzena jako škodlivá:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravitace
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Nástroj Winnerdomain17.version-lens-tool

Sociální inženýrství prostřednictvím klonovaných balíčků

Mnoho rozšíření typu „sleeper“ věrně napodobuje důvěryhodné balíčky pomocí taktik typosquattingu. Útočníci například použili klamavé názvy, jako například CEINTL.vscode-language-pack-tr, oproti legitimnímu Emotionkyoseparate.turkish-language-pack.

Aby posílily důvěryhodnost, tato falešná rozšíření také kopírovala původní ikony a popisy. Tato strategie „vizuální důvěryhodnosti“ pomáhá útočníkům přirozeně zvyšovat počet instalací tím, že balíčky vypadají autenticky a bezpečně.

Útočníci přecházejí na nenápadnější techniky doručování

Výzkumníci uvádějí, že provozovatelé červů GlassWorm aktivně zdokonalují své metody, aby se vyhnuli odhalení. Místo okamžitého nasazení malwaru se nyní spoléhají na spící balíčky a skryté tranzitivní závislosti, které se mohou aktivovat později.

Kampaň také využívá droppery založené na Zigu k instalaci druhého škodlivého rozšíření VSIX hostovaného na GitHubu. Po spuštění může zavaděč rozložit datovou zátěž napříč více integrovanými vývojovými prostředími (IDE) nainstalovanými na stejném systému.

Více IDE v ohrožení

Malware je schopen identifikovat a infikovat několik vývojářských platforem prostřednictvím příkazu --install-extension, včetně:

• Microsoft VS Code
• Kurzor
• Windsurfing
• VSCodium

Finální užitečné zatížení určené pro krádež dat a dálkové ovládání

Bez ohledu na počáteční cestu infekce zůstává konečný cíl stejný. Malware je navržen tak, aby se vyhýbal systémům nacházejícím se v Rusku, shromažďoval citlivé informace, nasadil trojského koně pro vzdálený přístup (RAT) a tajně nainstaloval falešné rozšíření prohlížeče založené na prohlížeči Chromium.

Toto rozšíření prohlížeče dokáže zaznamenávat přihlašovací údaje, záložky a další uložená data. V některých variantách je mechanismus doručování skrytý uvnitř obfuskovaného JavaScriptu, kde rozšíření funguje pouze jako zavaděč, zatímco skutečný obsah se stáhne a spustí až po aktivaci.