GlassWorm v2 ļaunprogrammatūra

Kiberdrošības pētnieki ir atklājuši plaša mēroga ļaunprātīgu kampaņu, kurā iesaistīti desmitiem Microsoft Visual Studio Code (VS Code) paplašinājumu, kas atrodas Open VSX repozitorijā. Operācija, kas tiek izsekota kā GlassWorm, ir vērsta uz sensitīvas informācijas zādzību no izstrādātājiem un izstrādes vides apdraudēšanu.

Izmeklētāji atklāja 73 aizdomīgus paplašinājumus, kas atdarina likumīgus rīkus. No tiem seši ir pārbaudīti kā ļaunprātīgi, bet pārējie, šķiet, darbojas kā neaktīvas “guļošas” pakotnes, kas paredzētas lietotāju uzticības iegūšanai, pirms vēlāk tiek izmantotas kā ierocis ar atjauninājumu palīdzību.

Visi identificētie paplašinājumi tika augšupielādēti 2026. gada aprīļa sākumā. Kopš 2025. gada 21. decembra pētnieki ir saistījuši vairāk nekā 320 ļaunprātīgus artefaktus ar plašāku GlassWorm infrastruktūru.

Apstiprināti ļaunprātīgi paplašinājumi

Šādi Open VSX paplašinājumi ir apstiprināti kā kaitīgi:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravitācija
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-koda-validēšana
• Winnerdomain17.version-lens-tool

Sociālā inženierija, izmantojot klonētas pakotnes

Daudzi no snaudošajiem paplašinājumiem, izmantojot drukas kļūdu taktiku, ļoti atdarina uzticamas pakotnes. Piemēram, uzbrucēji izmantoja maldinošus nosaukumus, piemēram, CEINTL.vscode-language-pack-tr, nevis likumīgo Emotionkyoseparate.turkish-language-pack.

Lai stiprinātu ticamību, šie viltotie paplašinājumi arī kopēja oriģinālās ikonas un aprakstus. Šī “vizuālās uzticēšanās” stratēģija palīdz uzbrucējiem dabiski palielināt instalāciju skaitu, padarot pakotnes autentiskas un drošas.

Uzbrucēji pāriet uz slepenākām piegādes metodēm

Pētnieki ziņo, ka GlassWorm operatori aktīvi pilnveido savas metodes, lai izvairītos no atklāšanas. Tā vietā, lai nekavējoties izvietotu ļaunprogrammatūru, viņi tagad paļaujas uz snaudošām pakotnēm un slēptām tranzitīvām atkarībām, kas var tikt aktivizētas vēlāk.

Kampaņa izmanto arī uz Zig balstītus dropperus, lai instalētu otru ļaunprātīgu VSIX paplašinājumu, kas tiek mitināts GitHub. Pēc palaišanas ielādētājs var izplatīt vērtumu vairākās integrētās izstrādes vidēs (IDE), kas instalētas vienā sistēmā.

Vairākas IDE ir apdraudētas

Ļaunprogrammatūra spēj identificēt un inficēt vairākas izstrādātāju platformas, izmantojot komandu --install-extension, tostarp:

• Microsoft VS kods
• Kursors
• Vindsērfings
• VSCodium

Galīgā slodze, kas paredzēta datu zādzībām un tālvadībai

Neatkarīgi no sākotnējā inficēšanas ceļa, galvenais mērķis paliek nemainīgs. Ļaunprogrammatūra ir izstrādāta, lai apietu Krievijā esošās sistēmas, ievāktu sensitīvu informāciju, izvietotu attālās piekļuves Trojas zirgu (RAT) un slepeni instalētu negodīgu Chromium bāzes pārlūkprogrammas paplašinājumu.

Šis pārlūkprogrammas paplašinājums var iegūt akreditācijas datus, grāmatzīmes un citus saglabātos datus. Dažos variantos piegādes mehānisms ir paslēpts apmulsinātā JavaScript kodā, kur paplašinājums darbojas tikai kā ielādētājs, kamēr faktiskā vērtuma slodze tiek lejupielādēta un izpildīta pēc aktivizēšanas.