Malware GlassWorm v2
Alcuni ricercatori nel campo della sicurezza informatica hanno scoperto una campagna malevola su vasta scala che coinvolge decine di estensioni di Microsoft Visual Studio Code (VS Code) ospitate sul repository Open VSX. L'operazione, denominata GlassWorm, ha come obiettivo il furto di informazioni sensibili agli sviluppatori e la compromissione degli ambienti di sviluppo.
Gli investigatori hanno scoperto 73 estensioni sospette che imitano strumenti legittimi. Tra queste, sei sono state verificate come dannose, mentre le restanti sembrano funzionare come pacchetti "dormienti" inattivi, progettati per conquistare la fiducia degli utenti prima di essere successivamente trasformati in minacce tramite aggiornamenti.
Tutte le estensioni identificate sono state caricate all'inizio di aprile 2026. Dal 21 dicembre 2025, i ricercatori hanno collegato oltre 320 artefatti dannosi all'infrastruttura GlassWorm.
Sommario
Estensioni dannose confermate
Le seguenti estensioni di Open VSX sono state confermate come dannose:
- outsidestormcommand.monochromator-theme
- keyacrosslaud auto-loop-for-antigravity
- krundoven.ironplc-fast-hub
- tunnel di massi.vscode-buddies
- cubedivervolt.html-code-validate
- Winnerdomain17.version-lens-tool
Ingegneria sociale tramite pacchetti clonati
Molte delle estensioni "dormienti" imitano fedelmente pacchetti affidabili attraverso tattiche di typosquatting. Ad esempio, gli aggressori hanno utilizzato nomi ingannevoli come CEINTL.vscode-language-pack-tr rispetto al pacchetto legittimo Emotionkyoseparate.turkish-language-pack.
Per rafforzare la propria credibilità, queste estensioni false copiavano anche le icone e le descrizioni originali. Questa strategia di "fiducia visiva" aiuta gli aggressori ad aumentare in modo naturale il numero di installazioni, facendo apparire i pacchetti autentici e sicuri.
Gli aggressori passano a tecniche di attacco più furtive
I ricercatori riferiscono che gli operatori di GlassWorm stanno perfezionando attivamente i loro metodi per eludere il rilevamento. Invece di distribuire immediatamente il malware, ora si affidano a pacchetti dormienti e dipendenze transitive nascoste che possono attivarsi in un secondo momento.
La campagna utilizza anche dropper basati su Zig per installare una seconda estensione VSIX dannosa ospitata su GitHub. Una volta eseguito, il loader può diffondere il payload su più ambienti di sviluppo integrati (IDE) installati sullo stesso sistema.
Molteplici IDE a rischio
Il malware è in grado di identificare e infettare diverse piattaforme di sviluppo tramite il comando --install-extension, tra cui:
- Microsoft VS Code
- Cursore
- Windsurf
- VSCodium
Carico utile finale progettato per il furto di dati e il controllo remoto
Indipendentemente dal percorso di infezione iniziale, l'obiettivo finale rimane lo stesso. Il malware è progettato per evitare i sistemi situati in Russia, raccogliere informazioni sensibili, distribuire un trojan di accesso remoto (RAT) e installare segretamente un'estensione del browser dannosa basata su Chromium.
Questa estensione per browser può acquisire credenziali, segnalibri e altri dati memorizzati. In alcune varianti, il meccanismo di acquisizione è nascosto all'interno di codice JavaScript offuscato, dove l'estensione funge solo da caricatore mentre il payload effettivo viene scaricato ed eseguito dopo l'attivazione.
