Κακόβουλο λογισμικό GlassWorm v2
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια μεγάλης κλίμακας κακόβουλη εκστρατεία που αφορούσε δεκάδες επεκτάσεις κώδικα Microsoft Visual Studio (VS Code) που φιλοξενούνται στο αποθετήριο Open VSX. Η επιχείρηση, που παρακολουθείται ως GlassWorm, επικεντρώνεται στην κλοπή ευαίσθητων πληροφοριών από προγραμματιστές και στην παραβίαση περιβαλλόντων ανάπτυξης.
Οι ερευνητές ανακάλυψαν 73 ύποπτες επεκτάσεις που μιμούνται νόμιμα εργαλεία. Μεταξύ αυτών, έξι έχουν επαληθευτεί ως κακόβουλες, ενώ οι υπόλοιπες φαίνεται να λειτουργούν ως αδρανή πακέτα «ύπνου» που έχουν σχεδιαστεί για να κερδίσουν την εμπιστοσύνη των χρηστών πριν αργότερα μετατραπούν σε όπλα μέσω ενημερώσεων.
Όλες οι αναγνωρισμένες επεκτάσεις μεταφορτώθηκαν στις αρχές Απριλίου 2026. Από τις 21 Δεκεμβρίου 2025, οι ερευνητές έχουν συνδέσει περισσότερα από 320 κακόβουλα αντικείμενα με την ευρύτερη υποδομή του GlassWorm.
Πίνακας περιεχομένων
Επιβεβαιωμένες κακόβουλες επεκτάσεις
Οι ακόλουθες επεκτάσεις Open VSX έχουν επιβεβαιωθεί ως επιβλαβείς:
- θέμα outsidestormcommand.monochromator
- keyacrosslaud.αυτόματος βρόχος-για-αντιβαρύτητα
- krundoven.ironplc-fast-hub
- boulderzitunnel.vscode-buddies
- cubedivervolt.html-code-validate
- Εργαλείο-φακού-Winnerdomain17.version
Κοινωνική Μηχανική μέσω Κλωνοποιημένων Πακέτων
Πολλές από τις επεκτάσεις sleeper μιμούνται πιστά τα αξιόπιστα πακέτα μέσω τακτικών typosquatting. Για παράδειγμα, οι εισβολείς χρησιμοποίησαν παραπλανητική ονομασία όπως CEINTL.vscode-language-pack-tr αντί για το νόμιμο Emotionkyoseparate.turkish-language-pack.
Για να ενισχύσουν την αξιοπιστία, αυτές οι ψεύτικες επεκτάσεις αντέγραψαν επίσης τα αρχικά εικονίδια και περιγραφές. Αυτή η στρατηγική «οπτικής εμπιστοσύνης» βοηθά τους εισβολείς να αυξήσουν τον αριθμό εγκαταστάσεων με φυσικό τρόπο, κάνοντας τα πακέτα να φαίνονται αυθεντικά και ασφαλή.
Οι επιτιθέμενοι μεταβαίνουν σε πιο αθόρυβες τεχνικές επίθεσης
Οι ερευνητές αναφέρουν ότι οι χειριστές του GlassWorm βελτιώνουν ενεργά τις μεθόδους τους για να αποφύγουν την ανίχνευση. Αντί να αναπτύσσουν κακόβουλο λογισμικό αμέσως, βασίζονται πλέον σε πακέτα sleeper και κρυφές μεταβατικές εξαρτήσεις που μπορούν να ενεργοποιηθούν αργότερα.
Η καμπάνια χρησιμοποιεί επίσης droppers που βασίζονται σε Zig για να εγκαταστήσει μια δεύτερη κακόβουλη επέκταση VSIX που φιλοξενείται στο GitHub. Μόλις εκτελεστεί, το πρόγραμμα φόρτωσης μπορεί να κατανείμει το ωφέλιμο φορτίο σε πολλά ολοκληρωμένα περιβάλλοντα ανάπτυξης (IDE) που είναι εγκατεστημένα στο ίδιο σύστημα.
Πολλαπλά IDE σε κίνδυνο
Το κακόβουλο λογισμικό είναι ικανό να εντοπίσει και να μολύνει διάφορες πλατφόρμες προγραμματιστών μέσω της εντολής --install-extension, όπως:
- Κώδικας Microsoft VS
- Δρομέας
- Ιστιοσανίδα
- VSCodium
Τελικό ωφέλιμο φορτίο σχεδιασμένο για κλοπή δεδομένων και τηλεχειρισμό
Ανεξάρτητα από την αρχική διαδρομή μόλυνσης, ο απώτερος στόχος παραμένει σταθερός. Το κακόβουλο λογισμικό έχει σχεδιαστεί για να αποφεύγει συστήματα που βρίσκονται στη Ρωσία, να συλλέγει ευαίσθητες πληροφορίες, να αναπτύσσει ένα trojan απομακρυσμένης πρόσβασης (RAT) και να εγκαθιστά κρυφά μια αθέμιτη επέκταση προγράμματος περιήγησης που βασίζεται στο Chromium.
Αυτή η επέκταση προγράμματος περιήγησης μπορεί να καταγράψει διαπιστευτήρια, σελιδοδείκτες και πρόσθετα αποθηκευμένα δεδομένα. Σε ορισμένες παραλλαγές, ο μηχανισμός παράδοσης είναι κρυμμένος μέσα σε ασαφή JavaScript, όπου η επέκταση λειτουργεί μόνο ως πρόγραμμα φόρτωσης, ενώ το πραγματικό ωφέλιμο φορτίο λαμβάνεται και εκτελείται μετά την ενεργοποίηση.
