Perisian Hasad GlassWorm v2
Penyelidik keselamatan siber telah membongkar kempen berniat jahat berskala besar yang melibatkan berpuluh-puluh sambungan Microsoft Visual Studio Code (VS Code) yang dihoskan pada repositori Open VSX. Operasi itu, yang dikesan sebagai GlassWorm, tertumpu pada mencuri maklumat sensitif daripada pembangun dan menjejaskan persekitaran pembangunan.
Penyiasat menemui 73 sambungan mencurigakan yang meniru alat yang sah. Antaranya, enam telah disahkan berniat jahat, manakala selebihnya kelihatan berfungsi sebagai pakej 'tidur' yang tidak aktif yang direka untuk mendapatkan kepercayaan pengguna sebelum kemudiannya dijadikan senjata melalui kemas kini.
Semua sambungan yang dikenal pasti telah dimuat naik pada awal April 2026. Sejak 21 Disember 2025, para penyelidik telah menghubungkan lebih daripada 320 artifak berniat jahat dengan infrastruktur GlassWorm yang lebih luas.
Isi kandungan
Sambungan Berniat Jahat yang Disahkan
Sambungan Open VSX berikut telah disahkan sebagai berbahaya:
- outsidestormcommand.tema-monokromator
- keyacrosslaud.gelung-auto-untuk-antigraviti
- krundoven.ironplc-fast-hub
- boulderzitunnel.vscode-buddies
- kod-cubedivervolt.html-sahkan
- Winnerdomain17.version-lens-tool
Kejuruteraan Sosial Melalui Pakej Klon
Kebanyakan sambungan tidur meniru pakej yang dipercayai melalui taktik typoscaping. Contohnya, penyerang menggunakan penamaan yang mengelirukan seperti CEINTL.vscode-language-pack-tr berbanding Emotionkyoseparate.turkish-language-pack yang sah.
Untuk mengukuhkan kredibiliti, sambungan palsu ini juga menyalin ikon dan penerangan asal. Strategi 'kepercayaan visual' ini membantu penyerang meningkatkan bilangan pemasangan secara semula jadi dengan menjadikan pakej kelihatan asli dan selamat.
Penyerang Beralih kepada Teknik Penghantaran yang Lebih Senyap
Penyelidik melaporkan bahawa pengendali GlassWorm sedang giat memperhalusi kaedah mereka untuk mengelakkan pengesanan. Daripada menggunakan perisian hasad dengan segera, mereka kini bergantung pada pakej tidur dan kebergantungan transitif tersembunyi yang boleh diaktifkan kemudian.
Kempen ini juga menggunakan dropper berasaskan Zig untuk memasang sambungan VSIX berniat jahat kedua yang dihoskan pada GitHub. Setelah dilaksanakan, pemuat boleh menyebarkan muatan merentasi berbilang persekitaran pembangunan bersepadu (IDE) yang dipasang pada sistem yang sama.
Pelbagai IDE Berisiko
Perisian hasad ini mampu mengenal pasti dan menjangkiti beberapa platform pembangun melalui arahan --install-extension, termasuk:
- Kod VS Microsoft
- Kursor
- Luncur angin
- VSCodium
Muatan Akhir Direka untuk Kecurian Data dan Kawalan Jauh
Terlepas dari laluan jangkitan awal, objektif utama tetap konsisten. Perisian hasad ini direka bentuk untuk mengelakkan sistem yang terletak di Rusia, menuai maklumat sensitif, menggunakan trojan akses jauh (RAT) dan memasang sambungan pelayar berasaskan Chromium secara rahsia.
Sambungan pelayar itu boleh menangkap kelayakan, penanda buku dan data tambahan yang disimpan. Dalam sesetengah varian, mekanisme penghantaran tersembunyi di dalam JavaScript yang dikaburkan, di mana sambungan hanya bertindak sebagai pemuat manakala muatan sebenar dimuat turun dan dilaksanakan selepas pengaktifan.
