Вредоносная программа GlassWorm v2

Исследователи в области кибербезопасности обнаружили масштабную вредоносную кампанию, затрагивающую десятки расширений Microsoft Visual Studio Code (VS Code), размещенных в репозитории Open VSX. Операция, получившая название GlassWorm, направлена на кражу конфиденциальной информации у разработчиков и компрометацию сред разработки.

Следователи обнаружили 73 подозрительных расширения, имитирующих легитимные инструменты. Шесть из них были признаны вредоносными, а остальные, по всей видимости, функционируют как скрытые «спящие» пакеты, предназначенные для завоевания доверия пользователей, а затем могут быть использованы в качестве оружия посредством обновлений.

Все обнаруженные расширения были загружены в начале апреля 2026 года. С 21 декабря 2025 года исследователи связали более 320 вредоносных артефактов с более широкой инфраструктурой GlassWorm.

Подтверждены вредоносные расширения

Подтверждено, что следующие расширения Open VSX являются вредоносными:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Социальная инженерия с помощью клонированных пакетов

Многие из скрытых расширений имитируют доверенные пакеты, используя тактику тайпсквоттинга. Например, злоумышленники использовали обманчивые названия, такие как CEINTL.vscode-language-pack-tr, вместо легитимного Emotionkyoseparate.turkish-language-pack.

Для повышения доверия эти поддельные расширения также копировали оригинальные значки и описания. Эта стратегия «визуального доверия» помогает злоумышленникам естественным образом увеличить количество установок, создавая впечатление подлинности и безопасности пакетов.

Злоумышленники переходят к более скрытным методам доставки угроз.

Исследователи сообщают, что операторы GlassWorm активно совершенствуют свои методы, чтобы избежать обнаружения. Вместо немедленного развертывания вредоносного ПО они теперь полагаются на скрытые пакеты и транзитивные зависимости, которые могут активироваться позже.

В рамках этой кампании также используются загрузчики на основе Zig для установки второго вредоносного расширения VSIX, размещенного на GitHub. После запуска загрузчик может распространить полезную нагрузку по нескольким интегрированным средам разработки (IDE), установленным в одной и той же системе.

Множество интегрированных сред разработки находятся под угрозой.

Вредоносная программа способна идентифицировать и заражать несколько платформ для разработчиков с помощью команды --install-extension, в том числе:

• Microsoft VS Code
• Курсор
• Виндсёрфинг
• VSCodium

Финальная полезная нагрузка, предназначенная для кражи данных и удаленного управления.

Независимо от первоначального пути заражения, конечная цель остается неизменной. Вредоносная программа разработана таким образом, чтобы обходить системы, расположенные в России, собирать конфиденциальную информацию, развертывать троян удаленного доступа (RAT) и тайно устанавливать вредоносное расширение для браузера на основе Chromium.

Это расширение для браузера может перехватывать учетные данные, закладки и другие сохраненные данные. В некоторых вариантах механизм доставки скрыт внутри обфусцированного JavaScript, где расширение действует только как загрузчик, в то время как реальная полезная нагрузка загружается и выполняется после активации.