Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema GlassWorm v2

Zlonamerna programska oprema GlassWorm v2

Do leta Mezo leta Zlonamerna programska oprema, Tatovi
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili obsežno zlonamerno kampanjo, v katero je bilo vpletenih na ducate razširitev Microsoft Visual Studio Code (VS Code), ki gostujejo v repozitoriju Open VSX. Operacija, znana kot GlassWorm, je osredotočena na krajo občutljivih informacij razvijalcev in ogrožanje razvojnih okolij.

Preiskovalci so odkrili 73 sumljivih razširitev, ki posnemajo legitimna orodja. Med njimi jih je bilo šest potrjenih kot zlonamernih, ostale pa očitno delujejo kot mirujoči "speči" paketi, namenjeni pridobivanju zaupanja uporabnikov, preden jih kasneje s posodobitvami uporabijo kot orožje.

Vse identificirane razširitve so bile naložene v začetku aprila 2026. Od 21. decembra 2025 so raziskovalci povezali več kot 320 zlonamernih artefaktov s širšo infrastrukturo GlassWorm.

Potrjene zlonamerne razširitve

Naslednje razširitve Open VSX so bile potrjene kot škodljive:

  • outsidestormcommand.monochromator-theme
  • keyacrosslaud.auto-zanka-za-antigravitacijo
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-koda-preverjanje
  • Winnerdomain17.version-lens-tool

Socialni inženiring s kloniranimi paketi

Številne razširitve s spečimi kodami natančno posnemajo zaupanja vredne pakete s taktikami tipografskih napak. Napadalci so na primer uporabili zavajajoča poimenovanja, kot je CEINTL.vscode-language-pack-tr, namesto legitimnega Emotionkyoseparate.turkish-language-pack.

Da bi okrepile verodostojnost, so te lažne razširitve kopirale tudi originalne ikone in opise. Ta strategija »vizualnega zaupanja« napadalcem pomaga naravno povečati število namestitev, tako da paketi izgledajo pristni in varni.

Napadalci se preusmerjajo na prikrite tehnike dostave

Raziskovalci poročajo, da upravljavci GlassWorm aktivno izpopolnjujejo svoje metode, da bi se izognili odkritju. Namesto da bi zlonamerno programsko opremo namestili takoj, se zdaj zanašajo na speče pakete in skrite tranzitorne odvisnosti, ki se lahko aktivirajo pozneje.

Kampanja uporablja tudi na Zigu temelječe namestitvene programe za namestitev druge zlonamerne razširitve VSIX, ki gostuje na GitHubu. Ko se nalagalnik izvede, lahko koristni tovor razširi v več integriranih razvojnih okolij (IDE), nameščenih v istem sistemu.

Več IDE-jev je ogroženih

Zlonamerna programska oprema lahko prek ukaza --install-extension prepozna in okuži več razvijalskih platform, vključno z:

  • Microsoft VS Code
  • Kazalec
  • Deskanje na deski
  • VSCodium

Končni koristni tovor, zasnovan za krajo podatkov in daljinsko upravljanje

Ne glede na začetno pot okužbe ostaja končni cilj enak. Zlonamerna programska oprema je zasnovana tako, da se izogne sistemom v Rusiji, zbira občutljive podatke, namesti trojanca za oddaljeni dostop (RAT) in na skrivaj namesti lažno razširitev brskalnika, ki temelji na Chromiumu.

Ta razširitev brskalnika lahko zajame poverilnice, zaznamke in dodatne shranjene podatke. V nekaterih različicah je mehanizem dostave skrit znotraj zakritega JavaScripta, kjer razširitev deluje le kot nalagalnik, medtem ko se dejanski koristni tovor prenese in izvede po aktivaciji.

V trendu

Najbolj gledan

Nalaganje...