GlassWorm v2 kártevő

Kiberbiztonsági kutatók lelepleztek egy nagyszabású rosszindulatú kampányt, amely több tucat, az Open VSX adattárban tárolt Microsoft Visual Studio Code (VS Code) bővítményt érintett. A GlassWorm néven nyomon követett művelet célja a fejlesztőktől származó bizalmas információk ellopása és a fejlesztői környezetek feltörése.

A nyomozók 73 gyanús bővítményt fedeztek fel, amelyek legitim eszközöket utánoztak. Közülük hatot kártékonynak igazoltak, míg a többi szunnyadó „alvó” csomagként működik, amelyek célja a felhasználók bizalmának elnyerése, mielőtt később frissítéseken keresztül fegyverként szolgálnának.

Az összes azonosított bővítményt 2026 áprilisának elején töltötték fel. 2025. december 21. óta a kutatók több mint 320 rosszindulatú tárgyat kapcsoltak a tágabb GlassWorm infrastruktúrához.

Megerősített kártékony bővítmények

A következő Open VSX kiterjesztésekről bizonyították, hogy károsak:

• outsidestormcommand.monokrómátor-téma
• keyacrosslaud.auto-loop-for-antigravitáció
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-kód-validálás
• Winnerdomain17.version-lens-tool

Szociális manipuláció klónozott csomagokon keresztül

Sok alvó kiterjesztés utánozza a megbízható csomagokat elgépelési taktikák segítségével. Például a támadók megtévesztő elnevezéseket használtak, mint például a CEINTL.vscode-language-pack-tr a legitim Emotionkyoseparate.turkish-language-pack helyett.

A hitelesség erősítése érdekében ezek a hamis kiterjesztések az eredeti ikonokat és leírásokat is lemásolták. Ez a „vizuális bizalom” stratégia segít a támadóknak természetes módon növelni a telepítések számát azáltal, hogy a csomagok hitelesnek és biztonságosnak tűnnek.

A támadók lopakodóbb kézbesítési technikákra váltanak

A kutatók arról számolnak be, hogy a GlassWorm üzemeltetői aktívan finomítják módszereiket az észlelés elkerülése érdekében. Ahelyett, hogy azonnal telepítenék a rosszindulatú programokat, most alvó csomagokra és rejtett tranzitív függőségekre támaszkodnak, amelyek később aktiválódhatnak.

A kampány Zig-alapú droppereket is használ egy második, a GitHubon tárolt rosszindulatú VSIX-bővítmény telepítéséhez. A futtatás után a betöltő a hasznos adatot több, ugyanazon a rendszeren telepített integrált fejlesztői környezet (IDE) között terjesztheti.

Több IDE veszélyben

A kártevő képes számos fejlesztői platform azonosítására és megfertőzésére a --install-extension parancson keresztül, beleértve a következőket:

• Microsoft VS Code
• Kurzor
• Szörfözés
• VSCodium

Adatlopásra és távirányításra tervezett végső hasznos teher

A kezdeti fertőzési útvonaltól függetlenül a végső cél változatlan marad. A rosszindulatú programot úgy tervezték, hogy elkerülje az Oroszországban található rendszereket, bizalmas információkat gyűjtsön, távoli hozzáférésű trójai vírust (RAT) telepítsen, és titokban telepítsen egy Chromium-alapú böngészőbővítményt.

Ez a böngészőbővítmény képes hitelesítő adatok, könyvjelzők és további tárolt adatok rögzítésére. Egyes változatokban a kézbesítési mechanizmus el van rejtve a obfuszkált JavaScriptben, ahol a bővítmény csak betöltőként működik, miközben a valódi hasznos adat letöltésre és végrehajtásra kerül az aktiválás után.