Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware GlassWorm v2-malware

GlassWorm v2-malware

Tegen Mezo in Malware, Dieven
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een grootschalige kwaadaardige campagne ontdekt waarbij tientallen Microsoft Visual Studio Code (VS Code)-extensies betrokken zijn die worden gehost in de Open VSX-repository. De operatie, die bekendstaat als GlassWorm, is gericht op het stelen van gevoelige informatie van ontwikkelaars en het compromitteren van ontwikkelomgevingen.

Onderzoekers ontdekten 73 verdachte extensies die legitieme tools imiteren. Zes daarvan zijn geverifieerd als kwaadaardig, terwijl de rest lijkt te functioneren als slapende 'sleeper'-pakketten die zijn ontworpen om het vertrouwen van gebruikers te winnen voordat ze later via updates worden misbruikt.

Alle geïdentificeerde extensies werden begin april 2026 geüpload. Sinds 21 december 2025 hebben onderzoekers meer dan 320 kwaadaardige artefacten gekoppeld aan de bredere GlassWorm-infrastructuur.

Bevestigde kwaadaardige extensies

De volgende Open VSX-extensies zijn bevestigd als schadelijk:

  • buitenstormcommando.monochromator-thema
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • Winnerdomain17.version-lens-tool

Social engineering via gekloonde pakketten

Veel van de verborgen extensies imiteren vertrouwde pakketten nauwkeurig door middel van typosquatting. Aanvallers gebruikten bijvoorbeeld misleidende namen zoals CEINTL.vscode-language-pack-tr in plaats van het legitieme Emotionkyoseparate.turkish-language-pack.

Om de geloofwaardigheid te versterken, kopieerden deze nep-extensies ook de originele pictogrammen en beschrijvingen. Deze strategie van 'visueel vertrouwen' helpt aanvallers om het aantal installaties op een natuurlijke manier te verhogen door de pakketten authentiek en veilig te laten lijken.

Aanvallers schakelen over op heimelijkere leveringsmethoden.

Onderzoekers melden dat de beheerders van GlassWorm hun methoden actief verfijnen om detectie te voorkomen. In plaats van malware direct te verspreiden, vertrouwen ze nu op sluimerende pakketten en verborgen transitieve afhankelijkheden die later geactiveerd kunnen worden.

De campagne maakt ook gebruik van Zig-gebaseerde droppers om een tweede kwaadaardige VSIX-extensie te installeren die op GitHub wordt gehost. Na uitvoering kan de loader de payload verspreiden over meerdere geïntegreerde ontwikkelomgevingen (IDE's) die op hetzelfde systeem zijn geïnstalleerd.

Meerdere IDE's lopen risico

De malware is in staat om via het commando --install-extension verschillende ontwikkelaarsplatformen te identificeren en te infecteren, waaronder:

  • Microsoft VS Code
  • Cursor
  • Windsurf
  • VSCodium

Definitieve payload ontworpen voor datadiefstal en afstandsbediening.

Ongeacht de initiële infectieroute blijft het uiteindelijke doel hetzelfde. De malware is ontworpen om systemen in Rusland te omzeilen, gevoelige informatie te verzamelen, een remote access trojan (RAT) te installeren en in het geheim een malafide, op Chromium gebaseerde browserextensie te plaatsen.

Die browserextensie kan inloggegevens, bladwijzers en andere opgeslagen data onderscheppen. In sommige varianten is het leveringsmechanisme verborgen in versleutelde JavaScript-code, waarbij de extensie alleen als laadprogramma fungeert terwijl de daadwerkelijke payload pas na activering wordt gedownload en uitgevoerd.

Trending

Meest bekeken

Bezig met laden...