הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית GlassWorm v2

תוכנה זדונית GlassWorm v2

עד Mezo ב-תוכנה זדונית, גונבים
לתרגם ל:

חוקרי אבטחת סייבר חשפו קמפיין זדוני בקנה מידה גדול הכולל עשרות הרחבות של Microsoft Visual Studio Code (VS Code) המאוחסנות במאגר Open VSX. הפעולה, שעוקבת אחר GlassWorm, מתמקדת בגניבת מידע רגיש ממפתחים ובפגיעה בסביבות פיתוח.

חוקרים גילו 73 הרחבות חשודות המחקות כלים לגיטימיים. מתוכן, שישה אומתו כזדוניים, בעוד שהשאר מתפקדות ככל הנראה כחבילות רדומות שנועדו לצבור אמון משתמשים לפני שהן הופכות מאוחר יותר לנשק באמצעות עדכונים.

כל התוספים שזוהו הועלו בתחילת אפריל 2026. מאז 21 בדצמבר 2025, חוקרים קישרו יותר מ-320 פריטים זדוניים לתשתית GlassWorm הרחבה יותר.

הרחבות זדוניות מאושרות

הרחבות Open VSX הבאות אושרו כמזיקות:

  • ערכת נושא outsidestormcommand.monochromator
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • כלי עדשות Winnerdomain17.version-lens

הנדסה חברתית באמצעות חבילות משוכפלות

רבות מההרחבות הרדומות מחקות חבילות מהימנות באמצעות טקטיקות typosquatting. לדוגמה, תוקפים השתמשו בשמות מטעים כגון CEINTL.vscode-language-pack-tr לעומת ה-Emotionkyoseparate.turkish-language-pack הלגיטימי.

כדי לחזק את האמינות, תוספים מזויפים אלה העתיקו גם את הסמלים והתיאורים המקוריים. אסטרטגיית "אמון חזותי" זו עוזרת לתוקפים להגדיל את מספר ההתקנות באופן טבעי על ידי יצירת חבילות המציגות מראה אותנטי ובטוח.

תוקפים עוברים לטכניקות מסירה חשאיות יותר

חוקרים מדווחים כי מפעילי GlassWorm משכללים באופן פעיל את שיטותיהם כדי להימנע מגילוי. במקום לפרוס תוכנות זדוניות באופן מיידי, הם מסתמכים כעת על חבילות רדומות ותלויות טרנזיטיביות נסתרות שיכולות להפעיל את עצמן מאוחר יותר.

הקמפיין משתמש גם ב-droppers מבוססי Zig כדי להתקין תוסף VSIX זדוני שני המתארח ב-GitHub. לאחר ההפעלה, הטוען יכול לפזר את המטען על פני מספר סביבות פיתוח משולבות (IDEs) המותקנות באותה מערכת.

מספר IDEs בסיכון

התוכנה הזדונית מסוגלת לזהות ולהדביק מספר פלטפורמות מפתחים באמצעות הפקודה --install-extension, כולל:

  • קוד מיקרוסופט VS
  • סַמָן
  • גלישת רוח
  • VSCodium

מטען סופי שתוכנן לגניבת נתונים ושלט רחוק

ללא קשר לנתיב ההדבקה הראשוני, המטרה הסופית נשארת עקבית. הנוזקה תוכננה להימנע ממערכות הממוקמות ברוסיה, לאסוף מידע רגיש, לפרוס סוס טרויאני לגישה מרחוק (RAT) ולהתקין בסתר תוסף דפדפן מבוסס Chromium סורר.

תוסף דפדפן זה יכול ללכוד אישורים, סימניות ונתונים מאוחסנים נוספים. בגרסאות מסוימות, מנגנון המסירה מוסתר בתוך JavaScript מעורפל, שבו התוסף פועל רק כמטען בעוד שהמטען האמיתי מורד ומבוצע לאחר ההפעלה.

מגמות

הכי נצפה

טוען...