GlassWorm v2 pahavara

Küberturvalisuse uurijad on paljastanud ulatusliku pahatahtliku kampaania, mis hõlmab kümneid Microsoft Visual Studio Code'i (VS Code) laiendusi, mis asuvad Open VSX repositooriumis. Operatsioon, mida jälgitakse nime all GlassWorm, keskendub tundliku teabe varastamisele arendajatelt ja arenduskeskkondade ohtu seadmisele.

Uurijad avastasid 73 kahtlast laiendust, mis imiteerivad legitiimseid tööriistu. Neist kuus on osutunud pahatahtlikuks, ülejäänud aga näivad toimivat uinunud nn magavate pakettidena, mis on loodud kasutajate usalduse võitmiseks enne hilisemat värskenduste kaudu relvaks muutmist.

Kõik tuvastatud laiendused laaditi üles 2026. aasta aprilli alguses. Alates 21. detsembrist 2025 on teadlased seostanud GlassWormi laiema infrastruktuuriga enam kui 320 pahatahtlikku artefakti.

Kinnitatud pahatahtlikud laiendused

Järgmised Open VSX laiendused on osutunud kahjulikuks:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravitatsioon
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Sotsiaalne manipuleerimine kloonitud pakettide kaudu

Paljud uinunud laiendused jäljendavad usaldusväärseid pakette trükivigadega. Näiteks kasutasid ründajad petlikke nimetusi, näiteks CEINTL.vscode-language-pack-tr, vastupidiselt legitiimsele Emotionkyoseparate.turkish-language-packile.

Usaldusväärsuse suurendamiseks kopeerisid need võltslaiendused ka algsed ikoonid ja kirjeldused. See „visuaalse usalduse” strateegia aitab ründajatel installitud pakettide arvu loomulikul teel suurendada, muutes need autentseteks ja turvalisteks.

Ründajad lähevad üle salakavalamatele kohaletoimetamise tehnikatele

Teadlased teatavad, et GlassWormi operaatorid täiustavad aktiivselt oma meetodeid, et avastamist vältida. Pahavara kohese juurutamise asemel tuginevad nad nüüd uinunud pakettidele ja peidetud transitiivsetele sõltuvustele, mis võivad hiljem aktiveeruda.

Kampaania kasutab Zig-põhiseid droppereid ka teise pahatahtliku VSIX-laienduse installimiseks, mis asub GitHubis. Pärast käivitamist saab laadur levitada koormust mitme samasse süsteemi installitud integreeritud arenduskeskkonna (IDE) vahel.

Mitmed IDE-d on ohus

Pahavara on võimeline tuvastama ja nakatama mitmeid arendajaplatvorme käsu --install-extension abil, sealhulgas:

• Microsoft VS Code
• Kursor
• Purjelaud
• VSCodium

Lõplik kasulik koormus, mis on loodud andmevarguste ja kaugjuhtimise jaoks

Olenemata esialgsest nakatumisteest jääb lõppeesmärk samaks. Pahavara on loodud vältima Venemaal asuvaid süsteeme, koguma tundlikku teavet, juurutama kaugjuurdepääsuga trooja (RAT) ja installima salaja petturliku Chromiumi-põhise brauserilaienduse.

See brauserilaiend saab jäädvustada mandaate, järjehoidjaid ja muid salvestatud andmeid. Mõnes variandis on edastusmehhanism peidetud hägustatud JavaScripti sisse, kus laiendus toimib ainult laadurina, samal ajal kui tegelik kasulik fail laaditakse alla ja käivitatakse pärast aktiveerimist.