„GlassWorm v2“ kenkėjiška programa

Kibernetinio saugumo tyrėjai atskleidė didelio masto kenkėjišką kampaniją, kurioje dalyvavo dešimtys „Microsoft Visual Studio Code“ (VS Code) plėtinių, esančių „Open VSX“ saugykloje. Operacija, vadinama „GlassWorm“, skirta pavogti neskelbtiną informaciją iš kūrėjų ir pažeisti kūrimo aplinkas.

Tyrėjai aptiko 73 įtartinus plėtinius, kurie imituoja teisėtus įrankius. Iš jų šeši buvo patvirtinti kaip kenkėjiški, o likę, regis, veikė kaip neveikiantys „miego“ paketai, skirti įgyti vartotojų pasitikėjimą, o vėliau paversti juos ginklu per atnaujinimus.

Visi identifikuoti plėtiniai buvo įkelti 2026 m. balandžio pradžioje. Nuo 2025 m. gruodžio 21 d. tyrėjai susiejo daugiau nei 320 kenkėjiškų artefaktų su platesne „GlassWorm“ infrastruktūra.

Patvirtinti kenkėjiški plėtiniai

Šie „Open VSX“ plėtiniai buvo patvirtinti kaip kenksmingi:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravitacija
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-bičiuliai
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Socialinė inžinerija naudojant klonuotus paketus

Daugelis „sleeper“ plėtinių labai imituoja patikimus paketus, naudodami rašybos klaidų taisymo taktiką. Pavyzdžiui, užpuolikai naudojo klaidinančius pavadinimus, tokius kaip CEINTL.vscode-language-pack-tr, o ne teisėtą „Emotionkyoseparate.turkish-language-pack“.

Siekiant sustiprinti patikimumą, šie netikri plėtiniai taip pat nukopijavo originalias piktogramas ir aprašymus. Ši „vizualinio pasitikėjimo“ strategija padeda užpuolikams natūraliai padidinti įdiegimų skaičių, nes paketai atrodo autentiški ir saugūs.

Užpuolikai pereina prie slaptesnių pristatymo metodų

Tyrėjai praneša, kad „GlassWorm“ operatoriai aktyviai tobulina savo metodus, kad išvengtų aptikimo. Užuot iš karto diegę kenkėjiškas programas, jie dabar pasikliauja „miegančiais“ paketais ir paslėptomis tranzityvinėmis priklausomybėmis, kurios gali būti aktyvuotos vėliau.

Kampanijoje taip pat naudojami „Zig“ pagrindu veikiantys „dropperiai“, skirti įdiegti antrą kenkėjišką VSIX plėtinį, esantį „GitHub“ platformoje. Paleidus įkėlimo programą, ji gali paskirstyti naudingąją apkrovą keliose integruotose kūrimo aplinkose (IDE), įdiegtose toje pačioje sistemoje.

Kelios IDE pavojuje

Kenkėjiška programa gali identifikuoti ir užkrėsti kelias kūrėjų platformas naudodama komandą --install-extension, įskaitant:

• „Microsoft VS Code“
• Žymeklis
• Burlenčių sportas
• VSCodium

Galutinis naudingasis krūvis, skirtas duomenų vagystėms ir nuotoliniam valdymui

Nepriklausomai nuo pradinio užkrėtimo kelio, galutinis tikslas išlieka tas pats. Kenkėjiška programa sukurta taip, kad apeitų Rusijoje esančias sistemas, rinktų slaptą informaciją, dislokuotų nuotolinės prieigos Trojos arklį (RAT) ir slapta įdiegtų nesąžiningą „Chromium“ pagrindu sukurtą naršyklės plėtinį.

Tas naršyklės plėtinys gali fiksuoti prisijungimo duomenis, žymes ir papildomus saugomus duomenis. Kai kuriuose variantuose pristatymo mechanizmas yra paslėptas užmaskuotame „JavaScript“ kode, kur plėtinys veikia tik kaip įkroviklis, o tikrasis naudingasis failas yra atsisiunčiamas ir vykdomas po aktyvinimo.