Rabattilbud med flere licenser
Trusseldatabase Malware GlassWorm v2-malware

GlassWorm v2-malware

Med Mezo i Malware, Tyvere
Oversæt til:

Cybersikkerhedsforskere har afsløret en storstilet ondsindet kampagne, der involverer snesevis af Microsoft Visual Studio Code (VS Code)-udvidelser, der hostes på Open VSX-arkivet. Operationen, der spores som GlassWorm, fokuserer på at stjæle følsomme oplysninger fra udviklere og kompromittere udviklingsmiljøer.

Efterforskere opdagede 73 mistænkelige udvidelser, der imiterer legitime værktøjer. Blandt dem er seks blevet verificeret som ondsindede, mens resten ser ud til at fungere som inaktive 'sovende' pakker designet til at vinde brugertillid, før de senere bliver brugt som våben gennem opdateringer.

Alle identificerede udvidelser blev uploadet i starten af april 2026. Siden 21. december 2025 har forskere forbundet mere end 320 ondsindede artefakter med den bredere GlassWorm-infrastruktur.

Bekræftede skadelige udvidelser

Følgende Open VSX-udvidelser er blevet bekræftet som skadelige:

  • outsidestormcommand.monochromator-tema
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-kode-validere
  • Winnerdomain17.version-lens-værktøj

Social manipulation gennem klonede pakker

Mange af de såkaldte "sleeper extensions" imiterer tæt betroede pakker gennem typosquatting-taktikker. For eksempel brugte angribere vildledende navngivning såsom CEINTL.vscode-language-pack-tr i modsætning til det legitime Emotionkyoseparate.turkish-language-pack.

For at styrke troværdigheden kopierede disse falske udvidelser også de originale ikoner og beskrivelser. Denne 'visuelle tillidsstrategi' hjælper angribere med at øge antallet af installationer naturligt ved at få pakkerne til at fremstå autentiske og sikre.

Angribere skifter til mere diskrete leveringsteknikker

Forskere rapporterer, at GlassWorm-operatørerne aktivt forfiner deres metoder for at undgå opdagelse. I stedet for at implementere malware med det samme, bruger de nu sovende pakker og skjulte transitive afhængigheder, der kan aktiveres senere.

Kampagnen bruger også Zig-baserede droppere til at installere en anden ondsindet VSIX-udvidelse, der hostes på GitHub. Når den er udført, kan indlæseren sprede nyttelasten på tværs af flere integrerede udviklingsmiljøer (IDE'er), der er installeret på det samme system.

Flere IDE’er i fare

Malwaren er i stand til at identificere og inficere adskillige udviklerplatforme via kommandoen --install-extension, herunder:

  • Microsoft VS-kode
  • Markør
  • Windsurfing
  • VSCodium

Endelig nyttelast designet til datatyveri og fjernbetjening

Uanset den oprindelige infektionssti forbliver det endelige mål det samme. Malwaren er konstrueret til at undgå systemer i Rusland, indsamle følsomme oplysninger, implementere en fjernadgangstrojan (RAT) og i hemmelighed installere en uærlig Chromium-baseret browserudvidelse.

Denne browserudvidelse kan indsamle legitimationsoplysninger, bogmærker og yderligere lagrede data. I nogle varianter er leveringsmekanismen skjult i obfuskeret JavaScript, hvor udvidelsen kun fungerer som en indlæser, mens den faktiske nyttelast downloades og udføres efter aktivering.

Trending

Mest sete

Indlæser...