Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware GlassWorm v2 Malware

GlassWorm v2 Malware

Nga MezoMalware, Vjedhësit
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë keqdashëse në shkallë të gjerë që përfshin dhjetëra zgjerime të Microsoft Visual Studio Code (VS Code) të vendosura në repozitorin Open VSX. Operacioni, i gjurmuar si GlassWorm, është përqendruar në vjedhjen e informacionit të ndjeshëm nga zhvilluesit dhe në kompromentimin e mjediseve të zhvillimit.

Hetuesit zbuluan 73 zgjerime të dyshimta që imitojnë mjete legjitime. Midis tyre, gjashtë janë verifikuar si keqdashëse, ndërsa pjesa tjetër duket se funksionon si paketa "të fjetura" të krijuara për të fituar besimin e përdoruesit përpara se të shndërrohen në armë më vonë përmes përditësimeve.

Të gjitha zgjerimet e identifikuara u ngarkuan në fillim të prillit 2026. Që nga 21 dhjetori 2025, studiuesit kanë lidhur më shumë se 320 objekte keqdashëse me infrastrukturën më të gjerë të GlassWorm.

Zgjerime të konfirmuara keqdashëse

Zgjerimet e mëposhtme Open VSX janë konfirmuar si të dëmshme:

  • outsidestormcommand.monochromator-theme
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-kod-validate
  • Winnerdomain17.version-lente-tool

Inxhinieri Sociale Përmes Paketave të Klonuara

Shumë nga zgjerimet "sleeper" imitojnë nga afër paketat e besuara përmes taktikave të "typosquatting". Për shembull, sulmuesit përdorën emërtime mashtruese si CEINTL.vscode-language-pack-tr kundrejt paketës së ligjshme Emotionkyoseparate.turkish-language-pack.

Për të forcuar besueshmërinë, këto zgjerime të rreme kopjuan gjithashtu ikonat dhe përshkrimet origjinale. Kjo strategji e 'besimit vizual' i ndihmon sulmuesit të rrisin numrin e instalimeve natyrshëm duke i bërë paketat të duken autentike dhe të sigurta.

Sulmuesit kalojnë në teknika më të fshehta të ofrimit të goditjeve

Studiuesit raportojnë se operatorët e GlassWorm po i përsosin në mënyrë aktive metodat e tyre për të shmangur zbulimin. Në vend që të vendosin menjëherë programe keqdashëse, ata tani mbështeten në paketa "fleet" dhe varësi të fshehura kalimtare që mund të aktivizohen më vonë.

Fushata përdor gjithashtu programe dropper të bazuara në Zig për të instaluar një zgjerim të dytë keqdashës VSIX të vendosur në GitHub. Pasi të ekzekutohet, ngarkuesi mund ta shpërndajë ngarkesën në shumë mjedise të integruara zhvillimi (IDE) të instaluara në të njëjtin sistem.

IDE të shumëfishta në rrezik

Malware është i aftë të identifikojë dhe infektojë disa platforma zhvilluesish përmes komandës --install-extension, duke përfshirë:

  • Kodi i Microsoft VS
  • Kursori
  • Windsurf
  • VSCodium

Ngarkesa përfundimtare e projektuar për vjedhjen e të dhënave dhe kontrollin në distancë

Pavarësisht nga rruga fillestare e infeksionit, objektivi përfundimtar mbetet i qëndrueshëm. Malware është projektuar për të shmangur sistemet e vendosura në Rusi, për të mbledhur informacione të ndjeshme, për të vendosur një trojan me akses të largët (RAT) dhe për të instaluar fshehurazi një zgjerim mashtrues të shfletuesit të bazuar në Chromium.

Ky zgjerim i shfletuesit mund të kapë kredencialet, faqeshënuesit dhe të dhëna të tjera të ruajtura. Në disa variante, mekanizmi i shpërndarjes është i fshehur brenda JavaScript-it të paqartë, ku zgjerimi vepron vetëm si ngarkues ndërsa ngarkesa e vërtetë shkarkohet dhe ekzekutohet pas aktivizimit.

Në trend

Më e shikuara

Po ngarkohet...