GlassWorm v2 मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने ओपन वीएसएक्स रिपॉजिटरी पर होस्ट किए गए दर्जनों माइक्रोसॉफ्ट विजुअल स्टूडियो कोड (वीएस कोड) एक्सटेंशन से जुड़े एक बड़े पैमाने पर दुर्भावनापूर्ण अभियान का पर्दाफाश किया है। ग्लासवर्म के रूप में ट्रैक किए जा रहे इस ऑपरेशन का उद्देश्य डेवलपर्स से संवेदनशील जानकारी चुराना और विकास परिवेशों को असुरक्षित बनाना है।

जांचकर्ताओं ने वैध टूल की नकल करने वाले 73 संदिग्ध एक्सटेंशन का पता लगाया। इनमें से छह को दुर्भावनापूर्ण पाया गया है, जबकि बाकी निष्क्रिय 'स्लीपर' पैकेज के रूप में काम करते प्रतीत होते हैं, जिन्हें अपडेट के माध्यम से बाद में दुरुपयोग करने से पहले उपयोगकर्ता का विश्वास जीतने के लिए डिज़ाइन किया गया है।

सभी पहचाने गए एक्सटेंशन अप्रैल 2026 की शुरुआत में अपलोड किए गए थे। 21 दिसंबर, 2025 से, शोधकर्ताओं ने 320 से अधिक दुर्भावनापूर्ण आर्टिफैक्ट को व्यापक ग्लासवर्म इन्फ्रास्ट्रक्चर से जोड़ा है।

पुष्टिकृत दुर्भावनापूर्ण एक्सटेंशन

निम्नलिखित ओपन वीएसएक्स एक्सटेंशन हानिकारक पाए गए हैं:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

क्लोन किए गए पैकेजों के माध्यम से सामाजिक इंजीनियरिंग

कई स्लीपर एक्सटेंशन टाइपोस्क्वेटिंग युक्तियों के माध्यम से विश्वसनीय पैकेजों की हूबहू नकल करते हैं। उदाहरण के लिए, हमलावरों ने भ्रामक नामकरण का उपयोग किया, जैसे कि CEINTL.vscode-language-pack-tr, जबकि वैध पैकेज Emotionkyoseparate.turkish-language-pack है।

विश्वसनीयता बढ़ाने के लिए, इन नकली एक्सटेंशनों ने मूल आइकन और विवरण की भी नकल की। यह 'दृश्य विश्वास' रणनीति हमलावरों को पैकेजों को प्रामाणिक और सुरक्षित दिखाकर स्वाभाविक रूप से इंस्टॉलेशन संख्या बढ़ाने में मदद करती है।

हमलावर अब अधिक गुप्त तरीके से जानकारी पहुंचाने की तकनीकों का उपयोग कर रहे हैं।

शोधकर्ताओं का कहना है कि ग्लासवर्म ऑपरेटर पकड़े जाने से बचने के लिए अपने तरीकों को लगातार परिष्कृत कर रहे हैं। मैलवेयर को तुरंत तैनात करने के बजाय, वे अब स्लीपर पैकेज और छिपी हुई ट्रांज़िटिव डिपेंडेंसी पर निर्भर हैं जो बाद में सक्रिय हो सकती हैं।

इस अभियान में GitHub पर होस्ट किए गए दूसरे दुर्भावनापूर्ण VSIX एक्सटेंशन को इंस्टॉल करने के लिए Zig-आधारित ड्रॉपर का भी उपयोग किया जाता है। एक बार निष्पादित होने के बाद, लोडर एक ही सिस्टम पर स्थापित कई एकीकृत विकास वातावरणों (IDE) में पेलोड फैला सकता है।

कई IDE खतरे में हैं

यह मैलवेयर --install-extension कमांड के माध्यम से कई डेवलपर प्लेटफॉर्मों की पहचान करने और उन्हें संक्रमित करने में सक्षम है, जिनमें शामिल हैं:

• माइक्रोसॉफ्ट वीएस कोड
• कर्सर
• विंडसर्फ
• वीएस सोडियम

डेटा चोरी और रिमोट कंट्रोल के लिए डिज़ाइन किया गया अंतिम पेलोड

संक्रमण का प्रारंभिक मार्ग चाहे जो भी हो, अंतिम उद्देश्य एक ही रहता है। यह मैलवेयर रूस में स्थित सिस्टमों से बचने, संवेदनशील जानकारी एकत्र करने, रिमोट एक्सेस ट्रोजन (आरएटी) तैनात करने और गुप्त रूप से एक दुर्भावनापूर्ण क्रोमियम-आधारित ब्राउज़र एक्सटेंशन स्थापित करने के लिए बनाया गया है।

यह ब्राउज़र एक्सटेंशन क्रेडेंशियल्स, बुकमार्क्स और अन्य संग्रहित डेटा को कैप्चर कर सकता है। कुछ वेरिएंट में, डिलीवरी तंत्र को अस्पष्ट जावास्क्रिप्ट के अंदर छिपाया जाता है, जहां एक्सटेंशन केवल लोडर के रूप में कार्य करता है जबकि वास्तविक पेलोड सक्रियण के बाद डाउनलोड और निष्पादित होता है।