Rabattoffert för flera licenser
Hotdatabas Skadlig programvara GlassWorm v2-skadlig programvara

GlassWorm v2-skadlig programvara

Med Mezo år Skadlig programvara, Stjälare
Översätt till:

Cybersäkerhetsforskare har avslöjat en storskalig skadlig kampanj som involverar dussintals Microsoft Visual Studio Code (VS Code)-tillägg som finns på Open VSX-arkivet. Operationen, som spåras som GlassWorm, fokuserar på att stjäla känslig information från utvecklare och kompromettera utvecklingsmiljöer.

Utredarna upptäckte 73 misstänkta tillägg som imiterar legitima verktyg. Bland dem har sex verifierats som skadliga, medan resten verkar fungera som vilande "sovande" paket utformade för att vinna användarnas förtroende innan de senare beväpnas genom uppdateringar.

Alla identifierade tillägg laddades upp i början av april 2026. Sedan den 21 december 2025 har forskare kopplat fler än 320 skadliga artefakter till den bredare GlassWorm-infrastrukturen.

Bekräftade skadliga tillägg

Följande Open VSX-tillägg har bekräftats som skadliga:

  • outsidestormcommand.monochromator-tema
  • keyacrosslaud.auto-loop-för-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-kompisar
  • cubedivervolt.html-kod-validera
  • Winnerdomain17.version-lens-verktyg

Social ingenjörskonst genom klonade paket

Många av sovande tillägg imiterar noggrant betrodda paket genom typosquatting-taktiker. Till exempel använde angripare vilseledande namngivningar som CEINTL.vscode-language-pack-tr istället för det legitima Emotionkyoseparate.turkish-language-pack.

För att stärka trovärdigheten kopierade dessa falska tillägg även de ursprungliga ikonerna och beskrivningarna. Denna "visuella förtroendestrategi" hjälper angripare att öka antalet installationer på ett naturligt sätt genom att få paketen att se autentiska och säkra ut.

Angripare övergår till smygande leveranstekniker

Forskare rapporterar att GlassWorm-operatörerna aktivt förfinar sina metoder för att undvika upptäckt. Istället för att distribuera skadlig kod omedelbart förlitar de sig nu på sovande paket och dolda transitiva beroenden som kan aktiveras senare.

Kampanjen använder också Zig-baserade droppers för att installera ett andra skadligt VSIX-tillägg som finns på GitHub. När det har körts kan laddaren sprida nyttolasten över flera integrerade utvecklingsmiljöer (IDE:er) som är installerade på samma system.

Flera IDE:er i riskzonen

Skadlig programvara kan identifiera och infektera flera utvecklarplattformar via kommandot --install-extension, inklusive:

  • Microsoft VS-kod
  • Markör
  • Vindsurfing
  • VSCodium

Slutlig nyttolast designad för datastöld och fjärrstyrning

Oavsett den initiala infektionsvägen förblir det slutgiltiga målet detsamma. Skadlig programvara är konstruerad för att undvika system i Ryssland, samla in känslig information, distribuera en fjärråtkomsttrojan (RAT) och i hemlighet installera ett falskt Chromium-baserat webbläsartillägg.

Det webbläsartillägget kan samla in inloggningsuppgifter, bokmärken och ytterligare lagrad data. I vissa varianter är leveransmekanismen dold inuti förvrängt JavaScript, där tillägget endast fungerar som en laddare medan den faktiska nyttolasten laddas ner och körs efter aktivering.

Trendigt

Mest sedda

Läser in...