GlassWorm v2 మాల్వేర్

సైబర్‌ సెక్యూరిటీ పరిశోధకులు, ఓపెన్ VSX రిపోజిటరీలో హోస్ట్ చేయబడిన డజన్ల కొద్దీ మైక్రోసాఫ్ట్ విజువల్ స్టూడియో కోడ్ (VS కోడ్) ఎక్స్‌టెన్షన్‌లకు సంబంధించిన ఒక భారీ స్థాయి హానికరమైన దాడిని వెలికితీశారు. గ్లాస్‌వార్మ్ అని పిలవబడే ఈ ఆపరేషన్, డెవలపర్‌ల నుండి సున్నితమైన సమాచారాన్ని దొంగిలించడం మరియు డెవలప్‌మెంట్ ఎన్విరాన్‌మెంట్‌లను దెబ్బతీయడంపై దృష్టి సారించింది.

పరిశోధకులు చట్టబద్ధమైన సాధనాలను అనుకరించే 73 అనుమానాస్పద ఎక్స్‌టెన్షన్‌లను కనుగొన్నారు. వాటిలో, ఆరు హానికరమైనవిగా ధృవీకరించబడ్డాయి, అయితే మిగిలినవి వినియోగదారుల నమ్మకాన్ని పొంది, ఆ తర్వాత అప్‌డేట్‌ల ద్వారా ఆయుధాలుగా మార్చబడేలా రూపొందించబడిన నిద్రాణమైన 'స్లీపర్' ప్యాకేజీలుగా పనిచేస్తున్నట్లు కనిపిస్తున్నాయి.

గుర్తించబడిన అన్ని ఎక్స్‌టెన్షన్‌లు ఏప్రిల్ 2026 ప్రారంభంలో అప్‌లోడ్ చేయబడ్డాయి. డిసెంబర్ 21, 2025 నుండి, పరిశోధకులు 320 కంటే ఎక్కువ హానికరమైన ఆర్టిఫ్యాక్ట్‌లను విస్తృత గ్లాస్‌వార్మ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌కు అనుసంధానించారు.

ధృవీకరించబడిన హానికరమైన పొడిగింపులు

కింది ఓపెన్ VSX ఎక్స్టెన్షన్‌లు హానికరమైనవిగా నిర్ధారించబడ్డాయి:

• outsidestormcommand.monochromator-theme
• యాంటీగ్రావిటీ కోసం కీఅక్రాస్లాడ్.ఆటో-లూప్
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• విన్నర్‌డొమైన్17.వెర్షన్-లెన్స్-టూల్

క్లోన్ చేయబడిన ప్యాకేజీల ద్వారా సామాజిక ఇంజనీరింగ్

చాలా స్లీపర్ ఎక్స్‌టెన్షన్‌లు టైపోస్క్వాటింగ్ వ్యూహాల ద్వారా విశ్వసనీయ ప్యాకేజీలను చాలా దగ్గరగా అనుకరిస్తాయి. ఉదాహరణకు, దాడి చేసేవారు చట్టబద్ధమైన Emotionkyoseparate.turkish-language-packకు బదులుగా CEINTL.vscode-language-pack-tr వంటి మోసపూరిత నామకరణాలను ఉపయోగించారు.

విశ్వసనీయతను పెంచుకోవడానికి, ఈ నకిలీ ఎక్స్‌టెన్షన్‌లు అసలైన ఐకాన్‌లను మరియు వివరణలను కూడా కాపీ చేశాయి. ఈ 'విజువల్ ట్రస్ట్' వ్యూహం, ప్యాకేజీలు ప్రామాణికంగా మరియు సురక్షితంగా కనిపించేలా చేయడం ద్వారా, ఇన్‌స్టాలేషన్‌ల సంఖ్యను సహజంగా పెంచుకోవడానికి దాడి చేసేవారికి సహాయపడుతుంది.

దాడి చేసేవారు మరింత రహస్యమైన దాడి పద్ధతులకు మారుతున్నారు

గ్లాస్‌వార్మ్ ఆపరేటర్లు పట్టుబడకుండా ఉండేందుకు తమ పద్ధతులను చురుకుగా మెరుగుపరుచుకుంటున్నారని పరిశోధకులు నివేదిస్తున్నారు. మాల్‌వేర్‌ను వెంటనే ప్రయోగించడానికి బదులుగా, వారు ఇప్పుడు స్లీపర్ ప్యాకేజీలు మరియు తరువాత యాక్టివేట్ కాగల రహస్య ట్రాన్సిటివ్ డిపెండెన్సీలపై ఆధారపడుతున్నారు.

ఈ క్యాంపెయిన్, GitHubలో హోస్ట్ చేయబడిన రెండవ హానికరమైన VSIX ఎక్స్‌టెన్షన్‌ను ఇన్‌స్టాల్ చేయడానికి Zig-ఆధారిత డ్రాపర్‌లను కూడా ఉపయోగిస్తుంది. ఒకసారి అమలు చేసిన తర్వాత, ఆ లోడర్ అదే సిస్టమ్‌లో ఇన్‌స్టాల్ చేయబడిన బహుళ ఇంటిగ్రేటెడ్ డెవలప్‌మెంట్ ఎన్విరాన్‌మెంట్‌ల (IDEs) అంతటా పేలోడ్‌ను వ్యాప్తి చేయగలదు.

ప్రమాదంలో ఉన్న బహుళ IDEలు

ఈ మాల్వేర్ --install-extension కమాండ్ ద్వారా అనేక డెవలపర్ ప్లాట్‌ఫారమ్‌లను గుర్తించి, వాటికి సోకింపజేయగలదు, వాటిలో ఇవి కూడా ఉన్నాయి:

• మైక్రోసాఫ్ట్ VS కోడ్
• కర్సర్
• విండ్‌సర్ఫ్
• VSCodium

డేటా దొంగతనం మరియు రిమోట్ కంట్రోల్ కోసం రూపొందించిన తుది పేలోడ్

ప్రారంభ ఇన్ఫెక్షన్ మార్గం ఏదైనప్పటికీ, అంతిమ లక్ష్యం మాత్రం స్థిరంగా ఉంటుంది. రష్యాలో ఉన్న సిస్టమ్‌లను తప్పించుకోవడం, సున్నితమైన సమాచారాన్ని సేకరించడం, రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ను ప్రయోగించడం, మరియు రహస్యంగా ఒక హానికరమైన క్రోమియం ఆధారిత బ్రౌజర్ ఎక్స్‌టెన్షన్‌ను ఇన్‌స్టాల్ చేయడం కోసం ఈ మాల్వేర్‌ను రూపొందించారు.

ఆ బ్రౌజర్ ఎక్స్‌టెన్షన్ క్రెడెన్షియల్స్, బుక్‌మార్క్‌లు మరియు అదనంగా నిల్వ చేసిన డేటాను సంగ్రహించగలదు. కొన్ని వేరియంట్‌లలో, డెలివరీ మెకానిజం అస్పష్టంగా మార్చబడిన జావాస్క్రిప్ట్‌లో దాగి ఉంటుంది, ఇక్కడ ఎక్స్‌టెన్షన్ కేవలం లోడర్‌గా మాత్రమే పనిచేస్తుంది, అయితే అసలైన పేలోడ్ యాక్టివేషన్ తర్వాత డౌన్‌లోడ్ చేయబడి అమలు చేయబడుతుంది.