Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare GlassWorm v2-skadevare

GlassWorm v2-skadevare

Med Mezo i Skadelig programvare, Tyvere
Oversett til:

Forskere innen nettsikkerhet har avdekket en storstilt ondsinnet kampanje som involverer dusinvis av Microsoft Visual Studio Code (VS Code)-utvidelser som ligger på Open VSX-repositoriet. Operasjonen, sporet som GlassWorm, fokuserer på å stjele sensitiv informasjon fra utviklere og kompromittere utviklingsmiljøer.

Etterforskerne oppdaget 73 mistenkelige utvidelser som imiterer legitime verktøy. Blant dem er seks bekreftet som skadelige, mens resten ser ut til å fungere som sovende pakker som er utformet for å vinne brukertillit før de senere blir våpengjort gjennom oppdateringer.

Alle identifiserte utvidelser ble lastet opp tidlig i april 2026. Siden 21. desember 2025 har forskere koblet mer enn 320 ondsinnede artefakter til den bredere GlassWorm-infrastrukturen.

Bekreftede skadelige utvidelser

Følgende Open VSX-utvidelser er bekreftet som skadelige:

  • outsidestormcommand.monochromator-tema
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-kode-validere
  • Winnerdomain17.version-lens-tool

Sosial manipulering gjennom klonede pakker

Mange av de sovende utvidelsene imiterer pålitelige pakker gjennom typosquatting-taktikker. For eksempel brukte angripere villedende navngivning som CEINTL.vscode-language-pack-tr kontra den legitime Emotionkyoseparate.turkish-language-pack.

For å styrke troverdigheten kopierte disse falske utvidelsene også de originale ikonene og beskrivelsene. Denne «visuelle tillitsstrategien» hjelper angripere med å øke antall installasjoner naturlig ved å få pakkene til å virke autentiske og trygge.

Angripere går over til mer snikende leveringsteknikker

Forskere rapporterer at GlassWorm-operatørene aktivt forbedrer metodene sine for å unngå oppdagelse. I stedet for å distribuere skadelig programvare umiddelbart, er de nå avhengige av sovende pakker og skjulte transitive avhengigheter som kan aktiveres senere.

Kampanjen bruker også Zig-baserte droppere for å installere en annen ondsinnet VSIX-utvidelse som ligger på GitHub. Når den er kjørt, kan lasteren spre nyttelasten på tvers av flere integrerte utviklingsmiljøer (IDE-er) som er installert på samme system.

Flere IDE-er i faresonen

Skadevaren er i stand til å identifisere og infisere flere utviklerplattformer gjennom --install-extension-kommandoen, inkludert:

  • Microsoft VS-kode
  • Markør
  • Vindsurfing
  • VSCodium

Endelig nyttelast designet for datatyveri og fjernkontroll

Uavhengig av den opprinnelige infeksjonsveien, forblir det endelige målet det samme. Skadevaren er konstruert for å unngå systemer i Russland, samle sensitiv informasjon, distribuere en trojaner for ekstern tilgang (RAT) og i hemmelighet installere en uønsket Chromium-basert nettleserutvidelse.

Den nettleserutvidelsen kan fange opp legitimasjon, bokmerker og ytterligere lagrede data. I noen varianter er leveringsmekanismen skjult i obfuskert JavaScript, der utvidelsen kun fungerer som en laster mens den virkelige nyttelasten lastes ned og kjøres etter aktivering.

Trender

Mest sett

Laster inn...