Злонамерни софтвер GlassWorm v2

Истраживачи сајбер безбедности открили су велику злонамерну кампању која укључује десетине екстензија за Microsoft Visual Studio Code (VS Code) смештених на Open VSX репозиторијуму. Операција, праћена као GlassWorm, фокусирана је на крађу осетљивих информација од програмера и угрожавање развојних окружења.

Истражитељи су открили 73 сумњива проширења која имитирају легитимне алате. Међу њима је шест потврђено као злонамерно, док остали изгледа функционишу као успавани „спавајући“ пакети дизајнирани да стекну поверење корисника пре него што касније буду коришћени као оружје путем ажурирања.

Сва идентификована проширења су отпремљена почетком априла 2026. године. Од 21. децембра 2025. године, истраживачи су повезали више од 320 злонамерних артефаката са широм инфраструктуром GlassWorm-а.

Потврђена злонамерна проширења

Следећа Open VSX проширења су потврђена као штетна:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Социјални инжењеринг кроз клониране пакете

Многа „sleeper“ проширења верно имитирају поуздане пакете користећи тактике типосквота. На пример, нападачи су користили обмањујућа именовања као што је CEINTL.vscode-language-pack-tr уместо легитимног Emotionkyoseparate.turkish-language-pack.

Да би ојачали кредибилитет, ова лажна проширења су такође копирала оригиналне иконе и описе. Ова стратегија „визуелног поверења“ помаже нападачима да природно повећају број инсталација тако што пакете чине да изгледају аутентично и безбедно.

Нападачи прелазе на прикривеније технике испоруке

Истраживачи извештавају да оператери GlassWorm-а активно усавршавају своје методе како би избегли откривање. Уместо да одмах распоређују злонамерни софтвер, сада се ослањају на „sleeper“ пакете и скривене транзитивне зависности које се могу активирати касније.

Кампања такође користи дропере засноване на Zig-у за инсталирање другог злонамерног VSIX проширења које се налази на GitHub-у. Једном покренут, програм за учитавање може да распореди корисни терет на више интегрисаних развојних окружења (IDE) инсталираних на истом систему.

Вишеструки IDE-ови су у опасности

Злонамерни софтвер је способан да идентификује и зарази неколико програмерских платформи путем команде --install-extension, укључујући:

• Мајкрософт против кода
• Курсор
• Виндсурфинг
• VSCodium

Коначни терет дизајниран за крађу података и даљинско управљање

Без обзира на почетни пут инфекције, крајњи циљ остаје доследан. Злонамерни софтвер је дизајниран да избегне системе који се налазе у Русији, прикупља осетљиве информације, инсталира тројанца за удаљени приступ (RAT) и тајно инсталира лажно проширење за прегледач засновано на Chromium-у.

То проширење прегледача може да бележи акредитиве, обележиваче и додатне сачуване податке. У неким варијантама, механизам испоруке је скривен унутар замагљеног ЈаваСкрипта, где проширење делује само као програм за учитавање док се прави корисни терет преузима и извршава након активације.