GlassWorm v2 मालवेयर

साइबरसुरक्षा अनुसन्धानकर्ताहरूले ओपन VSX रिपोजिटरीमा होस्ट गरिएका दर्जनौं माइक्रोसफ्ट भिजुअल स्टुडियो कोड (VS कोड) एक्सटेन्सनहरू समावेश गर्ने ठूलो स्तरको दुर्भावनापूर्ण अभियानको पर्दाफास गरेका छन्। GlassWorm को रूपमा ट्र्याक गरिएको यो अपरेशन विकासकर्ताहरूबाट संवेदनशील जानकारी चोर्न र विकास वातावरणलाई सम्झौता गर्नमा केन्द्रित छ।

अनुसन्धानकर्ताहरूले वैध उपकरणहरूको नक्कल गर्ने ७३ वटा शंकास्पद एक्सटेन्सनहरू पत्ता लगाए। ती मध्ये, छ वटालाई दुर्भावनापूर्ण रूपमा प्रमाणित गरिएको छ, जबकि बाँकीहरू अद्यावधिकहरू मार्फत पछि हतियार बनाइनु अघि प्रयोगकर्ताको विश्वास प्राप्त गर्न डिजाइन गरिएको निष्क्रिय 'स्लीपर' प्याकेजहरूको रूपमा काम गरेको देखिन्छ।

सबै पहिचान गरिएका एक्सटेन्सनहरू अप्रिल २०२६ को सुरुमा अपलोड गरिएका थिए। डिसेम्बर २१, २०२५ देखि, अनुसन्धानकर्ताहरूले ३२० भन्दा बढी दुर्भावनापूर्ण कलाकृतिहरूलाई फराकिलो GlassWorm पूर्वाधारमा जोडेका छन्।

पुष्टि गरिएका दुर्भावनापूर्ण एक्सटेन्सनहरू

निम्न ओपन VSX एक्सटेन्सनहरू हानिकारकको रूपमा पुष्टि भएका छन्:

• outstormcommand.monochromator-थीम
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-फास्ट-हब
• boulderzitunnel.vscode-साथीहरू
• cubedivervolt.html-कोड-प्रमाणित गर्नुहोस्
• Winnerdomain17.version-lens-उपकरण

क्लोन गरिएका प्याकेजहरू मार्फत सामाजिक इन्जिनियरिङ

धेरै स्लीपर एक्सटेन्सनहरूले टाइपोस्क्वाटिंग रणनीतिहरू मार्फत विश्वसनीय प्याकेजहरूको नजिकबाट नक्कल गर्छन्। उदाहरणका लागि, आक्रमणकारीहरूले वैध Emotionkyoseparate.turkish-language-pack को तुलनामा CEINTL.vscode-language-pack-tr जस्ता भ्रामक नामकरण प्रयोग गरे।

विश्वसनीयता बलियो बनाउन, यी नक्कली एक्सटेन्सनहरूले मूल आइकनहरू र विवरणहरू पनि प्रतिलिपि गरे। यो 'दृश्य विश्वास' रणनीतिले आक्रमणकारीहरूलाई प्याकेजहरूलाई प्रामाणिक र सुरक्षित देखाएर स्वाभाविक रूपमा स्थापना संख्या बढाउन मद्दत गर्दछ।

आक्रमणकारीहरू गोप्य डेलिभरी प्रविधिहरू अपनाउँछन्

अनुसन्धानकर्ताहरूले रिपोर्ट गर्छन् कि GlassWorm अपरेटरहरूले पत्ता लगाउनबाट बच्न सक्रिय रूपमा आफ्नो विधिहरू परिष्कृत गरिरहेका छन्। तुरुन्तै मालवेयर तैनाथ गर्नुको सट्टा, तिनीहरू अब स्लीपर प्याकेजहरू र लुकेका ट्रान्जिटिभ निर्भरताहरूमा भर पर्छन् जुन पछि सक्रिय हुन सक्छन्।

अभियानले GitHub मा होस्ट गरिएको दोस्रो दुर्भावनापूर्ण VSIX एक्सटेन्सन स्थापना गर्न Zig-आधारित ड्रपरहरू पनि प्रयोग गर्दछ। एक पटक कार्यान्वयन भएपछि, लोडरले एउटै प्रणालीमा स्थापित धेरै एकीकृत विकास वातावरण (IDEs) मा पेलोड फैलाउन सक्छ।

जोखिममा धेरै IDE हरू

मालवेयरले --install-extension आदेश मार्फत धेरै विकासकर्ता प्लेटफर्महरू पहिचान गर्न र संक्रमित गर्न सक्षम छ, जसमा समावेश छन्:

• माइक्रोसफ्ट VS कोड
• कर्सर
• विन्डसर्फ
• भीएसकोडियम

डेटा चोरी र रिमोट कन्ट्रोलको लागि डिजाइन गरिएको अन्तिम पेलोड

सुरुवाती संक्रमण मार्ग जस्तोसुकै भए पनि, अन्तिम उद्देश्य स्थिर रहन्छ। मालवेयर रूसमा अवस्थित प्रणालीहरूबाट बच्न, संवेदनशील जानकारी सङ्कलन गर्न, रिमोट एक्सेस ट्रोजन (RAT) तैनाथ गर्न र गोप्य रूपमा एक दुष्ट क्रोमियम-आधारित ब्राउजर एक्सटेन्सन स्थापना गर्न इन्जिनियर गरिएको छ।

त्यो ब्राउजर एक्सटेन्सनले प्रमाणहरू, बुकमार्कहरू, र थप भण्डारण गरिएको डेटा क्याप्चर गर्न सक्छ। केही भेरियन्टहरूमा, डेलिभरी मेकानिजम अस्पष्ट जाभास्क्रिप्ट भित्र लुकेको हुन्छ, जहाँ एक्सटेन्सनले लोडरको रूपमा मात्र काम गर्दछ जबकि वास्तविक पेलोड डाउनलोड हुन्छ र सक्रियता पछि कार्यान्वयन गरिन्छ।