Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver GlassWorm v2

Zlonamjerni softver GlassWorm v2

Do Mezo. Malware, kradljivci. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su veliku zlonamjernu kampanju koja uključuje desetke ekstenzija za Microsoft Visual Studio Code (VS Code) smještenih na Open VSX repozitoriju. Operacija, praćena kao GlassWorm, usmjerena je na krađu osjetljivih informacija od programera i ugrožavanje razvojnih okruženja.

Istražitelji su otkrili 73 sumnjiva proširenja koja imitiraju legitimne alate. Među njima je šest potvrđeno kao zlonamjerno, dok se čini da ostali funkcioniraju kao uspavani "uspavani" paketi osmišljeni kako bi stekli povjerenje korisnika prije nego što kasnije budu iskorišteni kao oružje putem ažuriranja.

Sva identificirana proširenja prenesena su početkom travnja 2026. Od 21. prosinca 2025. istraživači su povezali više od 320 zlonamjernih artefakata sa širom infrastrukturom GlassWorma.

Potvrđena zlonamjerna proširenja

Sljedeća Open VSX proširenja su potvrđena kao štetna:

  • outsidestormcommand.monochromator-tema
  • keyacrosslaud.automatska-petlja-za-antigravitaciju
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-kod-validate
  • Winnerdomain17.version-lens-tool

Socijalni inženjering putem kloniranih paketa

Mnoga od "sleeper" proširenja blisko oponašaju pouzdane pakete taktikom tiposquattinga. Na primjer, napadači su koristili varljiva imena poput CEINTL.vscode-language-pack-tr za razliku od legitimnog Emotionkyoseparate.turkish-language-pack.

Kako bi ojačali vjerodostojnost, ova lažna proširenja također su kopirala originalne ikone i opise. Ova strategija 'vizualnog povjerenja' pomaže napadačima da prirodno povećaju broj instalacija tako što pakete čine autentičnima i sigurnima.

Napadači prelaze na prikrivenije tehnike dostave

Istraživači izvještavaju da operateri GlassWorma aktivno usavršavaju svoje metode kako bi izbjegli otkrivanje. Umjesto da odmah implementiraju zlonamjerni softver, sada se oslanjaju na sleeper pakete i skrivene tranzitivne ovisnosti koje se mogu aktivirati kasnije.

Kampanja također koristi Zig-bazirane droppere za instaliranje drugog zlonamjernog VSIX proširenja hostiranog na GitHubu. Nakon izvršenja, loader može rasporediti korisni teret na više integriranih razvojnih okruženja (IDE) instaliranih na istom sustavu.

Višestruki IDE-ovi su u opasnosti

Zlonamjerni softver može identificirati i zaraziti nekoliko razvojnih platformi putem naredbe --install-extension, uključujući:

  • Microsoft VS Code
  • Kursor
  • Windsurfing
  • VSCodium

Konačni korisni teret dizajniran za krađu podataka i daljinsko upravljanje

Bez obzira na početni put zaraze, krajnji cilj ostaje dosljedan. Zlonamjerni softver je dizajniran kako bi izbjegao sustave koji se nalaze u Rusiji, prikupljao osjetljive informacije, implementirao trojanca za udaljeni pristup (RAT) i tajno instalirao lažno proširenje preglednika temeljeno na Chromiumu.

To proširenje preglednika može hvatati vjerodajnice, oznake i dodatne pohranjene podatke. U nekim varijantama, mehanizam isporuke skriven je unutar obfusiranog JavaScripta, gdje proširenje djeluje samo kao program za učitavanje dok se pravi korisni teret preuzima i izvršava nakon aktivacije.

U trendu

Nagledanije

Učitavam...