GlassWorm v2 Malware

Badacze cyberbezpieczeństwa odkryli zakrojoną na szeroką skalę złośliwą kampanię obejmującą dziesiątki rozszerzeń Microsoft Visual Studio Code (VS Code) hostowanych w repozytorium Open VSX. Operacja, oznaczona jako GlassWorm, koncentruje się na kradzieży poufnych informacji od programistów i naruszaniu bezpieczeństwa środowisk programistycznych.

Śledczy odkryli 73 podejrzane rozszerzenia imitujące legalne narzędzia. Sześć z nich zostało zweryfikowanych jako złośliwe, a pozostałe wydają się działać jako uśpione pakiety, mające na celu zdobycie zaufania użytkowników, a następnie wykorzystanie ich jako broni poprzez aktualizacje.

Wszystkie zidentyfikowane rozszerzenia zostały przesłane na początku kwietnia 2026 r. Od 21 grudnia 2025 r. badacze powiązali ponad 320 złośliwych artefaktów z szerszą infrastrukturą GlassWorm.

Potwierdzone złośliwe rozszerzenia

Potwierdzono, że następujące rozszerzenia Open VSX są szkodliwe:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-kumple
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Inżynieria społeczna poprzez sklonowane pakiety

Wiele uśpionych rozszerzeń wiernie naśladuje zaufane pakiety, stosując taktykę typosquattingu. Na przykład, atakujący używali zwodniczych nazw, takich jak CEINTL.vscode-language-pack-tr, zamiast legalnej nazwy Emotionkyoseparate.turkish-language-pack.

Aby wzmocnić wiarygodność, te fałszywe rozszerzenia kopiowały również oryginalne ikony i opisy. Ta strategia „wizualnego zaufania” pomaga atakującym w naturalny sposób zwiększyć liczbę instalacji, sprawiając, że pakiety wydają się autentyczne i bezpieczne.

Napastnicy przechodzą na bardziej ukryte techniki dostarczania

Badacze donoszą, że operatorzy GlassWorm aktywnie udoskonalają swoje metody, aby uniknąć wykrycia. Zamiast od razu wdrażać złośliwe oprogramowanie, polegają teraz na uśpionych pakietach i ukrytych zależnościach przechodnich, które mogą zostać aktywowane później.

Kampania wykorzystuje również droppery oparte na Zig do zainstalowania drugiego złośliwego rozszerzenia VSIX hostowanego w serwisie GitHub. Po uruchomieniu, loader może rozproszyć ładunek na wiele zintegrowanych środowisk programistycznych (IDE) zainstalowanych w tym samym systemie.

Wiele środowisk IDE zagrożonych

Szkodliwe oprogramowanie potrafi identyfikować i infekować wiele platform deweloperskich za pomocą polecenia --install-extension, w tym:

• Microsoft VS Code
• Kursor
• Windsurf
• VSCod

Ostateczny ładunek przeznaczony do kradzieży danych i zdalnego sterowania

Niezależnie od pierwotnej ścieżki infekcji, ostateczny cel pozostaje niezmienny. Szkodliwe oprogramowanie zostało zaprojektowane tak, aby omijać systemy zlokalizowane w Rosji, zbierać poufne informacje, wdrażać trojana zdalnego dostępu (RAT) i potajemnie instalować złośliwe rozszerzenie przeglądarki oparte na Chromium.

To rozszerzenie przeglądarki może przechwytywać dane uwierzytelniające, zakładki i inne przechowywane dane. W niektórych wariantach mechanizm dostarczania jest ukryty w zaciemnionym kodzie JavaScript, gdzie rozszerzenie działa jedynie jako moduł ładujący, podczas gdy rzeczywisty ładunek jest pobierany i uruchamiany po aktywacji.