มัลแวร์ GlassWorm v2
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญโจมตีขนาดใหญ่ที่เกี่ยวข้องกับส่วนเสริมของ Microsoft Visual Studio Code (VS Code) หลายสิบรายการที่โฮสต์อยู่บนที่เก็บข้อมูล Open VSX ปฏิบัติการนี้ซึ่งถูกติดตามในชื่อ GlassWorm มีเป้าหมายเพื่อขโมยข้อมูลสำคัญจากนักพัฒนาและบุกรุกสภาพแวดล้อมการพัฒนา
ผู้ตรวจสอบพบส่วนขยายที่น่าสงสัย 73 รายการ ซึ่งเลียนแบบเครื่องมือที่ถูกต้องตามกฎหมาย ในจำนวนนี้ 6 รายการได้รับการยืนยันว่าเป็นอันตราย ส่วนที่เหลือดูเหมือนจะทำงานเป็นแพ็กเกจ "แฝงตัว" ที่ออกแบบมาเพื่อสร้างความไว้วางใจให้กับผู้ใช้ ก่อนที่จะถูกนำมาใช้เป็นอาวุธในภายหลังผ่านการอัปเดต
ส่วนขยายที่ระบุทั้งหมดถูกอัปโหลดในช่วงต้นเดือนเมษายน 2026 ตั้งแต่วันที่ 21 ธันวาคม 2025 นักวิจัยได้เชื่อมโยงสิ่งประดิษฐ์ที่เป็นอันตรายมากกว่า 320 รายการเข้ากับโครงสร้างพื้นฐานของ GlassWorm ที่กว้างขึ้น
สารบัญ
ส่วนขยายที่เป็นอันตรายที่ได้รับการยืนยันแล้ว
ส่วนขยาย Open VSX ต่อไปนี้ได้รับการยืนยันแล้วว่าเป็นอันตราย:
- outsidestormcommand.monochromator-theme
- keyacrosslaud.auto-loop-for-antigravity
- krundoven.ironplc-fast-hub
- boulderzitunnel.vscode-buddies
- cubedivervolt.html-code-validate
- Winnerdomain17.version-lens-tool
การหลอกลวงทางสังคมผ่านแพ็กเกจที่ลอกเลียนแบบ
ส่วนขยายแฝงจำนวนมากเลียนแบบแพ็กเกจที่น่าเชื่อถืออย่างใกล้ชิดโดยใช้กลยุทธ์การปลอมแปลงชื่อไฟล์ ตัวอย่างเช่น ผู้โจมตีใช้การตั้งชื่อที่หลอกลวง เช่น CEINTL.vscode-language-pack-tr แทนที่จะเป็น Emotionkyoseparate.turkish-language-pack ที่ถูกต้อง
เพื่อเพิ่มความน่าเชื่อถือ ส่วนเสริมปลอมเหล่านี้ยังคัดลอกไอคอนและคำอธิบายของต้นฉบับอีกด้วย กลยุทธ์ "ความน่าเชื่อถือทางภาพ" นี้ช่วยให้ผู้โจมตีเพิ่มจำนวนการติดตั้งได้อย่างเป็นธรรมชาติ โดยทำให้แพ็กเกจดูเหมือนของแท้และปลอดภัย
ผู้โจมตีเปลี่ยนไปใช้เทคนิคการโจมตีที่แนบเนียนยิ่งขึ้น
นักวิจัยรายงานว่า ผู้ดำเนินการ GlassWorm กำลังปรับปรุงวิธีการของตนอย่างต่อเนื่องเพื่อหลีกเลี่ยงการตรวจจับ แทนที่จะปล่อยมัลแวร์ออกมาทันที พวกเขาหันมาใช้แพ็กเกจแฝงและส่วนประกอบที่ซ่อนอยู่ซึ่งสามารถเปิดใช้งานได้ในภายหลัง
แคมเปญนี้ยังใช้ dropper ที่ใช้ Zig ในการติดตั้งส่วนขยาย VSIX ที่เป็นอันตรายตัวที่สอง ซึ่งโฮสต์อยู่บน GitHub เมื่อเรียกใช้งานแล้ว ตัวโหลดสามารถแพร่กระจาย payload ไปยังสภาพแวดล้อมการพัฒนาแบบบูรณาการ (IDE) หลายตัวที่ติดตั้งอยู่ในระบบเดียวกันได้
IDE หลายตัวตกอยู่ในความเสี่ยง
มัลแวร์นี้สามารถระบุและแพร่เชื้อไปยังแพลตฟอร์มสำหรับนักพัฒนาหลายแพลตฟอร์มผ่านคำสั่ง --install-extension ซึ่งรวมถึง:
- ไมโครซอฟต์ VS Code
- เคอร์เซอร์
- วินด์เซิร์ฟ
- วีเอสซีโซเดียม
ส่วนประกอบสุดท้ายถูกออกแบบมาเพื่อการขโมยข้อมูลและการควบคุมระยะไกล
ไม่ว่าเส้นทางการติดเชื้อเริ่มต้นจะเป็นอย่างไร เป้าหมายสุดท้ายยังคงเหมือนเดิม มัลแวร์นี้ได้รับการออกแบบมาเพื่อหลีกเลี่ยงระบบที่ตั้งอยู่ในรัสเซีย เก็บรวบรวมข้อมูลที่สำคัญ ติดตั้งโทรจันสำหรับการเข้าถึงระยะไกล (RAT) และติดตั้งส่วนขยายเบราว์เซอร์ที่ใช้ Chromium ที่เป็นอันตรายโดยไม่ให้ใครเห็น
ส่วนขยายเบราว์เซอร์นั้นสามารถดักจับข้อมูลประจำตัว บุ๊กมาร์ก และข้อมูลที่จัดเก็บเพิ่มเติมได้ ในบางเวอร์ชัน กลไกการส่งข้อมูลจะซ่อนอยู่ภายใน JavaScript ที่เข้ารหัสลับ โดยส่วนขยายจะทำหน้าที่เป็นเพียงตัวโหลด ในขณะที่ข้อมูลจริงจะถูกดาวน์โหลดและเรียกใช้งานหลังจากเปิดใช้งานแล้ว
