GlassWorm v2 ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਓਪਨ VSX ਰਿਪੋਜ਼ਟਰੀ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਗਏ ਦਰਜਨਾਂ ਮਾਈਕ੍ਰੋਸਾਫਟ ਵਿਜ਼ੂਅਲ ਸਟੂਡੀਓ ਕੋਡ (VS ਕੋਡ) ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦੇ ਹੋਏ ਇੱਕ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਖਤਰਨਾਕ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। GlassWorm ਦੇ ਨਾਮ ਨਾਲ ਟਰੈਕ ਕੀਤਾ ਗਿਆ ਇਹ ਓਪਰੇਸ਼ਨ ਡਿਵੈਲਪਰਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਅਤੇ ਵਿਕਾਸ ਵਾਤਾਵਰਣ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ।

ਜਾਂਚਕਰਤਾਵਾਂ ਨੇ 73 ਸ਼ੱਕੀ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੀ ਖੋਜ ਕੀਤੀ ਜੋ ਜਾਇਜ਼ ਟੂਲਸ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਇਨ੍ਹਾਂ ਵਿੱਚੋਂ, ਛੇ ਨੂੰ ਖਤਰਨਾਕ ਵਜੋਂ ਪ੍ਰਮਾਣਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਦੋਂ ਕਿ ਬਾਕੀ ਸੁਸਤ 'ਸਲੀਪਰ' ਪੈਕੇਜਾਂ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਪ੍ਰਤੀਤ ਹੁੰਦੇ ਹਨ ਜੋ ਬਾਅਦ ਵਿੱਚ ਅਪਡੇਟਾਂ ਦੁਆਰਾ ਹਥਿਆਰਬੰਦ ਕੀਤੇ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ ਉਪਭੋਗਤਾ ਦਾ ਵਿਸ਼ਵਾਸ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ।

ਸਾਰੇ ਪਛਾਣੇ ਗਏ ਐਕਸਟੈਂਸ਼ਨ ਅਪ੍ਰੈਲ 2026 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਅਪਲੋਡ ਕੀਤੇ ਗਏ ਸਨ। 21 ਦਸੰਬਰ, 2025 ਤੋਂ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ 320 ਤੋਂ ਵੱਧ ਖਤਰਨਾਕ ਕਲਾਕ੍ਰਿਤੀਆਂ ਨੂੰ ਵਿਸ਼ਾਲ ਗਲਾਸਵਰਮ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਜੋੜਿਆ ਹੈ।

ਪੁਸ਼ਟੀ ਕੀਤੀਆਂ ਖਤਰਨਾਕ ਐਕਸਟੈਂਸ਼ਨਾਂ

ਹੇਠ ਲਿਖੇ ਓਪਨ VSX ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੂੰ ਨੁਕਸਾਨਦੇਹ ਹੋਣ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਹੈ:

• outsidestormcommand.monochromator-ਥੀਮ
• ਕੀਅਕ੍ਰਾਸਲਾਉਡ.ਐਂਟੀਗ੍ਰੈਵਿਟੀ ਲਈ ਆਟੋ-ਲੂਪ
• krundoven.ironplc-ਫਾਸਟ-ਹੱਬ
• boulderzitunnel.vscode-ਬੱਡੀਜ਼
• cubedivervolt.html-ਕੋਡ-ਪ੍ਰਮਾਣਿਤ ਕਰੋ
• Winnerdomain17.version-ਲੈਂਸ-ਟੂਲ

ਕਲੋਨ ਕੀਤੇ ਪੈਕੇਜਾਂ ਰਾਹੀਂ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ

ਬਹੁਤ ਸਾਰੇ ਸਲੀਪਰ ਐਕਸਟੈਂਸ਼ਨ ਟਾਈਪੋਸਕਵੇਟਿੰਗ ਰਣਨੀਤੀਆਂ ਰਾਹੀਂ ਭਰੋਸੇਯੋਗ ਪੈਕੇਜਾਂ ਦੀ ਨੇੜਿਓਂ ਨਕਲ ਕਰਦੇ ਹਨ। ਉਦਾਹਰਣ ਵਜੋਂ, ਹਮਲਾਵਰਾਂ ਨੇ ਜਾਇਜ਼ Emotionkyoseparate.turkish-language-pack ਦੇ ਮੁਕਾਬਲੇ CEINTL.vscode-language-pack-tr ਵਰਗੇ ਧੋਖੇਬਾਜ਼ ਨਾਮਕਰਨ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।

ਭਰੋਸੇਯੋਗਤਾ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ, ਇਹਨਾਂ ਨਕਲੀ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨੇ ਅਸਲ ਆਈਕਨਾਂ ਅਤੇ ਵਰਣਨਾਂ ਦੀ ਨਕਲ ਵੀ ਕੀਤੀ। ਇਹ 'ਵਿਜ਼ੂਅਲ ਟਰੱਸਟ' ਰਣਨੀਤੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪੈਕੇਜਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਕ ਅਤੇ ਸੁਰੱਖਿਅਤ ਦਿਖਾ ਕੇ ਕੁਦਰਤੀ ਤੌਰ 'ਤੇ ਇੰਸਟਾਲੇਸ਼ਨ ਸੰਖਿਆਵਾਂ ਨੂੰ ਵਧਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ।

ਹਮਲਾਵਰ ਸਟੀਲਥੀਅਰ ਡਿਲੀਵਰੀ ਤਕਨੀਕਾਂ ਵੱਲ ਵਧਦੇ ਹਨ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਰਿਪੋਰਟ ਦਿੱਤੀ ਹੈ ਕਿ ਗਲਾਸਵਰਮ ਆਪਰੇਟਰ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਆਪਣੇ ਤਰੀਕਿਆਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਸੁਧਾਰ ਰਹੇ ਹਨ। ਮਾਲਵੇਅਰ ਨੂੰ ਤੁਰੰਤ ਤੈਨਾਤ ਕਰਨ ਦੀ ਬਜਾਏ, ਉਹ ਹੁਣ ਸਲੀਪਰ ਪੈਕੇਜਾਂ ਅਤੇ ਲੁਕਵੇਂ ਟ੍ਰਾਂਜਿਟਿਵ ਨਿਰਭਰਤਾਵਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ ਜੋ ਬਾਅਦ ਵਿੱਚ ਕਿਰਿਆਸ਼ੀਲ ਹੋ ਸਕਦੇ ਹਨ।

ਇਹ ਮੁਹਿੰਮ GitHub 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਗਏ ਦੂਜੇ ਖਤਰਨਾਕ VSIX ਐਕਸਟੈਂਸ਼ਨ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ Zig-ਅਧਾਰਿਤ ਡਰਾਪਰਾਂ ਦੀ ਵੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇੱਕ ਵਾਰ ਚੱਲਣ ਤੋਂ ਬਾਅਦ, ਲੋਡਰ ਇੱਕੋ ਸਿਸਟਮ 'ਤੇ ਸਥਾਪਤ ਕਈ ਏਕੀਕ੍ਰਿਤ ਵਿਕਾਸ ਵਾਤਾਵਰਣਾਂ (IDEs) ਵਿੱਚ ਪੇਲੋਡ ਨੂੰ ਫੈਲਾ ਸਕਦਾ ਹੈ।

ਜੋਖਮ 'ਤੇ ਕਈ IDE

ਇਹ ਮਾਲਵੇਅਰ --install-extension ਕਮਾਂਡ ਰਾਹੀਂ ਕਈ ਡਿਵੈਲਪਰ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਮਾਈਕ੍ਰੋਸਾਫਟ VS ਕੋਡ
• ਕਰਸਰ
• ਵਿੰਡਸਰਫ
• ਵੀ.ਐਸ.ਕੋਡੀਅਮ

ਡਾਟਾ ਚੋਰੀ ਅਤੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਅੰਤਿਮ ਪੇਲੋਡ

ਸ਼ੁਰੂਆਤੀ ਇਨਫੈਕਸ਼ਨ ਮਾਰਗ ਦੇ ਬਾਵਜੂਦ, ਅੰਤਮ ਉਦੇਸ਼ ਇਕਸਾਰ ਰਹਿੰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ ਰੂਸ ਵਿੱਚ ਸਥਿਤ ਸਿਸਟਮਾਂ ਤੋਂ ਬਚਣ, ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ, ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਨੂੰ ਤੈਨਾਤ ਕਰਨ, ਅਤੇ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਇੱਕ ਠੱਗ ਕ੍ਰੋਮੀਅਮ-ਅਧਾਰਤ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਉਹ ਬ੍ਰਾਊਜ਼ਰ ਐਕਸਟੈਂਸ਼ਨ ਕ੍ਰੇਡੇੰਸ਼ਿਅਲ, ਬੁੱਕਮਾਰਕਸ, ਅਤੇ ਵਾਧੂ ਸਟੋਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਕੈਪਚਰ ਕਰ ਸਕਦਾ ਹੈ। ਕੁਝ ਰੂਪਾਂ ਵਿੱਚ, ਡਿਲੀਵਰੀ ਵਿਧੀ ਗੁੰਝਲਦਾਰ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਦੇ ਅੰਦਰ ਲੁਕੀ ਹੋਈ ਹੈ, ਜਿੱਥੇ ਐਕਸਟੈਂਸ਼ਨ ਸਿਰਫ ਇੱਕ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ ਜਦੋਂ ਕਿ ਅਸਲ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਐਕਟੀਵੇਸ਼ਨ ਤੋਂ ਬਾਅਦ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।