GlassWorm v2 -haittaohjelma
Kyberturvallisuustutkijat ovat paljastaneet laajamittaisen haitallisen kampanjan, johon osallistui kymmeniä Open VSX -arkistossa isännöityjä Microsoft Visual Studio Code (VS Code) -laajennuksia. GlassWorm-nimisenä jäljitetty operaatio keskittyy varastamaan arkaluonteisia tietoja kehittäjiltä ja vaarantamaan kehitysympäristöjä.
Tutkijat löysivät 73 epäilyttävää laajennusta, jotka jäljittelivät laillisia työkaluja. Niistä kuusi on varmistettu haitallisiksi, kun taas loput näyttävät toimivan lepotilassa olevina paketteina, joiden tarkoituksena on saada käyttäjien luottamus ennen kuin niitä myöhemmin muutetaan aseiksi päivitysten avulla.
Kaikki tunnistetut laajennukset ladattiin palvelimelle huhtikuun alussa 2026. 21. joulukuuta 2025 lähtien tutkijat ovat linkittäneet yli 320 haitallista esinettä laajempaan GlassWorm-infrastruktuuriin.
Sisällysluettelo
Vahvistetut haitalliset laajennukset
Seuraavien Open VSX -laajennusten on vahvistettu olevan haitallisia:
- outsidestormcommand.monokromaattoriteema
- keyacrosslaud.auto-loop-for-antigravity
- krundoven.ironplc-fast-hub
- boulderzitunnel.vscode-buddies
- cubedivervolt.html-koodin-validointi
- Winnerdomain17.version-lens-tool
Sosiaalinen manipulointi kloonattujen pakettien avulla
Monet nukkuvista paketeista matkivat luotettavia paketteja typosquatting-taktiikoilla. Hyökkääjät käyttivät esimerkiksi harhaanjohtavia nimiä, kuten CEINTL.vscode-language-pack-tr, laillisen Emotionkyoseparate.turkish-language-packin sijaan.
Uskottavuuden vahvistamiseksi nämä väärennetyt laajennukset kopioivat myös alkuperäiset kuvakkeet ja kuvaukset. Tämä "visuaalisen luottamuksen" strategia auttaa hyökkääjiä lisäämään asennusten määrää luonnollisesti tekemällä paketeista aitojen ja turvallisten näköisiä.
Hyökkääjät siirtyvät piilovetoisempiin toimitustekniikoihin
Tutkijoiden mukaan GlassWorm-operaattorit hiovat aktiivisesti menetelmiään välttääkseen paljastumisen. Sen sijaan, että haittaohjelmat otettaisiin käyttöön välittömästi, he luottavat nyt nukkuviin paketteihin ja piilotettuihin transitiivisiin riippuvuuksiin, jotka voivat aktivoitua myöhemmin.
Kampanjassa käytetään myös Zig-pohjaisia droppereita toisen haitallisen VSIX-laajennuksen asentamiseen GitHubissa. Suorittamisen jälkeen lataaja voi levittää hyötykuorman useisiin samaan järjestelmään asennettuihin integroituihin kehitysympäristöihin (IDE).
Useita IDE-ympäristöjä vaarassa
Haittaohjelma pystyy tunnistamaan ja tartuttamaan useita kehittäjäalustoja komennon --install-extension avulla, mukaan lukien:
- Microsoft VS-koodi
- Kohdistin
- Purjelautailu
- VSCodium
Lopputeho suunniteltu tietovarkauksiin ja etähallintaan
Alkuperäisestä tartuntareitistä riippumatta perimmäinen tavoite pysyy samana. Haittaohjelma on suunniteltu välttämään Venäjällä sijaitsevia järjestelmiä, keräämään arkaluonteisia tietoja, ottamaan käyttöön etäkäyttötroijalaisen (RAT) ja asentamaan salaa haitallisen Chromium-pohjaisen selainlaajennuksen.
Kyseinen selainlaajennus voi tallentaa tunnistetietoja, kirjanmerkkejä ja muita tallennettuja tietoja. Joissakin muunnelmissa toimitusmekanismi on piilotettu hämärretyn JavaScriptin sisään, jossa laajennus toimii vain lataajana, kun taas varsinainen hyötysisältö ladataan ja suoritetaan aktivoinnin jälkeen.
