Škodlivý softvér GlassWorm v2

Výskumníci v oblasti kybernetickej bezpečnosti odhalili rozsiahlu škodlivú kampaň zahŕňajúcu desiatky rozšírení Microsoft Visual Studio Code (VS Code) hostovaných v repozitári Open VSX. Operácia, sledovaná ako GlassWorm, sa zameriava na krádež citlivých informácií od vývojárov a ohrozenie vývojových prostredí.

Vyšetrovatelia objavili 73 podozrivých rozšírení, ktoré napodobňujú legitímne nástroje. Šesť z nich bolo overených ako škodlivých, zatiaľ čo zvyšok zrejme funguje ako spiace balíky určené na získanie dôvery používateľov predtým, ako sa neskôr stanú zbraňou prostredníctvom aktualizácií.

Všetky identifikované rozšírenia boli nahrané začiatkom apríla 2026. Od 21. decembra 2025 výskumníci prepojili viac ako 320 škodlivých artefaktov so širšou infraštruktúrou GlassWorm.

Potvrdené škodlivé rozšírenia

Nasledujúce rozšírenia Open VSX boli potvrdené ako škodlivé:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• overenie kódu cubedivervolt.html
• Nástroj Winnerdomain17.version-lens-tool

Sociálne inžinierstvo prostredníctvom klonovaných balíkov

Mnohé zo sleeperových rozšírení veľmi dobre napodobňujú dôveryhodné balíčky pomocou taktík preklepov. Útočníci napríklad použili klamlivé názvy, ako napríklad CEINTL.vscode-language-pack-tr, namiesto legitímneho Emotionkyoseparate.turkish-language-pack.

Aby sa posilnila dôveryhodnosť, tieto falošné rozšírenia kopírovali aj pôvodné ikony a popisy. Táto stratégia „vizuálnej dôvery“ pomáha útočníkom prirodzene zvyšovať počet inštalácií tým, že balíky pôsobia autenticky a bezpečne.

Útočníci prechádzajú na nenápadnejšie techniky doručovania

Výskumníci uvádzajú, že prevádzkovatelia vírusu GlassWorm aktívne zdokonaľujú svoje metódy, aby sa vyhli odhaleniu. Namiesto okamžitého nasadenia škodlivého softvéru sa teraz spoliehajú na spiace balíčky a skryté tranzitívne závislosti, ktoré sa môžu aktivovať neskôr.

Kampaň tiež využíva droppery založené na Zigu na inštaláciu druhého škodlivého rozšírenia VSIX hostovaného na GitHube. Po spustení môže zavádzací program rozložiť užitočné zaťaženie medzi viacero integrovaných vývojových prostredí (IDE) nainštalovaných v tom istom systéme.

Viaceré IDE sú v ohrození

Malvér dokáže identifikovať a infikovať niekoľko vývojárskych platforiem prostredníctvom príkazu --install-extension, vrátane:

• Microsoft VS Code
• Kurzor
• Windsurfing
• VSCodium

Konečné užitočné zaťaženie určené na krádež údajov a diaľkové ovládanie

Bez ohľadu na počiatočnú cestu infekcie zostáva konečný cieľ rovnaký. Škodlivý softvér je navrhnutý tak, aby sa vyhol systémom nachádzajúcim sa v Rusku, zhromažďoval citlivé informácie, nasadil trójskeho koňa pre vzdialený prístup (RAT) a tajne nainštaloval falošné rozšírenie prehliadača založené na prehliadači Chromium.

Toto rozšírenie prehliadača dokáže zachytiť prihlasovacie údaje, záložky a ďalšie uložené údaje. V niektorých variantoch je mechanizmus doručovania skrytý v zahalenom JavaScripte, kde rozšírenie funguje iba ako zavádzač, zatiaľ čo skutočné užitočné zaťaženie sa stiahne a vykoná po aktivácii.