GlassWorm v2 Malware

사이버 보안 연구원들이 Open VSX 저장소에 있는 수십 개의 Microsoft Visual Studio Code(VS Code) 확장 프로그램을 이용한 대규모 악성 캠페인을 발견했습니다. GlassWorm으로 추적되는 이 공격은 개발자로부터 중요한 정보를 탈취하고 개발 환경을 손상시키는 데 초점을 맞추고 있습니다.

조사 결과, 합법적인 도구를 모방한 의심스러운 확장 프로그램 73개가 발견되었습니다. 그중 6개는 악성 프로그램으로 확인되었으며, 나머지는 사용자의 신뢰를 얻은 후 업데이트를 통해 악성 프로그램으로 변질되기 전에 잠복해 있는 '슬리퍼' 패키지인 것으로 보입니다.

확인된 모든 확장 프로그램은 2026년 4월 초에 업로드되었습니다. 2025년 12월 21일 이후 연구원들은 320개 이상의 악성 아티팩트를 더 광범위한 GlassWorm 인프라와 연결했습니다.

악성 확장 프로그램으로 확인됨

다음 Open VSX 확장 프로그램은 유해한 것으로 확인되었습니다.

• outsidestormcommand.모노크로메이터-테마
• keyacrosslaud.반중력용 자동 루프
• 크룬도벤.아이언plc-패스트허브
• 볼더지터널.vscode-친구들
• cubedivervolt.html-code-validate
• Winnerdomain17.버전-렌즈-툴

복제 패키지를 이용한 사회공학적 기법

많은 악성 확장 프로그램은 타이포스쿼팅(typosquatting) 기법을 통해 신뢰할 수 있는 패키지를 매우 유사하게 모방합니다. 예를 들어, 공격자들은 정식 패키지인 Emotionkyoseparate.turkish-language-pack 대신 CEINTL.vscode-language-pack-tr과 같은 기만적인 이름 지정을 사용했습니다.

신뢰도를 높이기 위해 이러한 가짜 확장 프로그램은 원본 아이콘과 설명까지 복사했습니다. 이러한 '시각적 신뢰' 전략은 공격자가 패키지를 진짜처럼 보이게 하고 안전해 보이도록 만들어 설치 수를 자연스럽게 늘리는 데 도움이 됩니다.

공격자들이 더욱 은밀한 공격 기법으로 전환하고 있다

연구원들은 글래스웜 운영자들이 탐지를 피하기 위해 공격 방식을 적극적으로 개선하고 있다고 보고했습니다. 이제 그들은 악성코드를 즉시 배포하는 대신, 나중에 활성화될 수 있는 숨겨진 패키지와 전이적 종속성을 이용합니다.

이 캠페인은 Zig 기반 드로퍼를 사용하여 GitHub에 호스팅된 두 번째 악성 VSIX 확장 프로그램을 설치합니다. 실행되면 로더는 동일 시스템에 설치된 여러 통합 개발 환경(IDE)에 페이로드를 확산시킬 수 있습니다.

다수의 IDE가 위험에 처해 있습니다.

해당 악성 프로그램은 --install-extension 명령어를 통해 다음과 같은 여러 개발자 플랫폼을 식별하고 감염시킬 수 있습니다.

• Microsoft VS Code
• 커서
• 윈드서핑
• VSCodium

데이터 탈취 및 원격 제어를 위해 설계된 최종 탑재체

초기 감염 경로와 관계없이 궁극적인 목표는 동일합니다. 이 악성 소프트웨어는 러시아에 있는 시스템을 회피하고, 민감한 정보를 수집하며, 원격 접속 트로이목마(RAT)를 배포하고, 악성 크로미움 기반 브라우저 확장 프로그램을 몰래 설치하도록 설계되었습니다.

해당 브라우저 확장 프로그램은 자격 증명, 북마크 및 기타 저장된 데이터를 캡처할 수 있습니다. 일부 변종에서는 전달 메커니즘이 난독화된 JavaScript 내부에 숨겨져 있어 확장 프로그램은 로더 역할만 하고 실제 페이로드는 활성화 후에 다운로드되어 실행됩니다.