Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware Programe malware GlassWorm v2

Programe malware GlassWorm v2

Până în Mezo în Programe malware, Furători
Tradu in:

Cercetătorii în domeniul securității cibernetice au descoperit o campanie rău intenționată la scară largă care implică zeci de extensii Microsoft Visual Studio Code (VS Code) găzduite în depozitul Open VSX. Operațiunea, denumită GlassWorm, se concentrează pe furtul de informații sensibile de la dezvoltatori și compromiterea mediilor de dezvoltare.

Anchetatorii au descoperit 73 de extensii suspecte care imită instrumente legitime. Printre acestea, șase au fost verificate ca fiind rău intenționate, în timp ce restul par să funcționeze ca pachete „inactive” concepute pentru a câștiga încrederea utilizatorilor înainte de a fi ulterior transformate în arme prin actualizări.

Toate extensiile identificate au fost încărcate la începutul lunii aprilie 2026. Din 21 decembrie 2025, cercetătorii au conectat peste 320 de artefacte malițioase la infrastructura mai largă GlassWorm.

Extensii rău intenționate confirmate

Următoarele extensii Open VSX au fost confirmate ca fiind dăunătoare:

  • outsidestormcommand.monochromator-theme
  • keyacrosslaud.auto-loop-for-antigravitație
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • Winnerdomain17.version-lens-tool

Inginerie socială prin pachete clonate

Multe dintre extensiile inactive imită îndeaproape pachetele de încredere prin tactici de typosquatting. De exemplu, atacatorii au folosit denumiri înșelătoare, cum ar fi CEINTL.vscode-language-pack-tr, față de pachetul legitim Emotionkyoseparate.turkish-language-pack.

Pentru a consolida credibilitatea, aceste extensii false au copiat și pictogramele și descrierile originale. Această strategie de „încredere vizuală” îi ajută pe atacatori să crească numărul de instalări în mod natural, făcând ca pachetele să pară autentice și sigure.

Atacatorii trec la tehnici de livrare mai discrete

Cercetătorii raportează că operatorii GlassWorm își perfecționează activ metodele pentru a evita detectarea. În loc să implementeze imediat programe malware, aceștia se bazează acum pe pachete inactive și dependențe tranzitive ascunse care se pot activa ulterior.

Campania folosește, de asemenea, dropper-e bazate pe Zig pentru a instala o a doua extensie VSIX malițioasă găzduită pe GitHub. Odată executată, încărcătorul poate distribui sarcina utilă în mai multe medii de dezvoltare integrate (IDE) instalate pe același sistem.

Mai multe IDE-uri în pericol

Malware-ul este capabil să identifice și să infecteze mai multe platforme de dezvoltare prin comanda --install-extension, inclusiv:

  • Cod Microsoft VS
  • Cursor
  • Windsurfing
  • VSCodium

Sarcină utilă finală concepută pentru furt de date și control de la distanță

Indiferent de calea inițială de infectare, obiectivul final rămâne constant. Malware-ul este conceput pentru a evita sistemele situate în Rusia, a colecta informații sensibile, a implementa un troian de acces la distanță (RAT) și a instala în secret o extensie de browser bazată pe Chromium.

Extensia respectivă de browser poate captura acreditări, marcaje și date stocate suplimentare. În unele variante, mecanismul de livrare este ascuns în JavaScript ofuscat, unde extensia acționează doar ca un încărcător, în timp ce sarcina utilă reală este descărcată și executată după activare.

Trending

Cele mai văzute

Se încarcă...