GlassWorm v2 Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang malawakang malisyosong kampanya na kinasasangkutan ng dose-dosenang mga extension ng Microsoft Visual Studio Code (VS Code) na naka-host sa Open VSX repository. Ang operasyon, na sinusubaybayan bilang GlassWorm, ay nakatuon sa pagnanakaw ng sensitibong impormasyon mula sa mga developer at pagkompromiso sa mga development environment.

Natuklasan ng mga imbestigador ang 73 kahina-hinalang extension na ginagaya ang mga lehitimong tool. Sa mga ito, anim ang napatunayang malisyoso, habang ang iba ay tila gumagana bilang mga natutulog na 'sleeper' package na idinisenyo upang makakuha ng tiwala ng user bago ito magamit sa mga update.

Ang lahat ng natukoy na extension ay na-upload noong unang bahagi ng Abril 2026. Simula noong Disyembre 21, 2025, naiugnay na ng mga mananaliksik ang mahigit 320 malisyosong artifact sa mas malawak na imprastraktura ng GlassWorm.

Mga Nakumpirmang Nakakahamak na Extension

Ang mga sumusunod na Open VSX extension ay nakumpirmang nakakapinsala:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-para-sa-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Social Engineering sa pamamagitan ng mga Cloned Package

Marami sa mga sleeper extension ang halos ginagaya ang mga pinagkakatiwalaang pakete sa pamamagitan ng mga taktika ng typosquatting. Halimbawa, gumamit ang mga umaatake ng mapanlinlang na pagpapangalan tulad ng CEINTL.vscode-language-pack-tr kumpara sa lehitimong Emotionkyoseparate.turkish-language-pack.

Para mapalakas ang kredibilidad, kinopya rin ng mga pekeng extension na ito ang mga orihinal na icon at deskripsyon. Ang estratehiyang 'visual trust' na ito ay nakakatulong sa mga umaatake na natural na mapataas ang bilang ng mga naka-install sa pamamagitan ng pagpapamukhang tunay at ligtas ang mga pakete.

Lumipat ang mga Attacker sa Mas Lihim na mga Teknik sa Paghahatid

Iniulat ng mga mananaliksik na aktibong pinagbubuti ng mga operator ng GlassWorm ang kanilang mga pamamaraan upang maiwasan ang pagtuklas. Sa halip na agad na mag-deploy ng malware, umaasa na sila ngayon sa mga sleeper package at mga nakatagong transitive dependencies na maaaring mag-activate sa ibang pagkakataon.

Gumagamit din ang kampanya ng mga dropper na nakabatay sa Zig upang mag-install ng pangalawang malisyosong VSIX extension na naka-host sa GitHub. Kapag naipatupad na, maaaring ikalat ng loader ang payload sa maraming integrated development environment (IDE) na naka-install sa parehong sistema.

Maraming IDE ang Nanganganib

Ang malware ay may kakayahang tukuyin at mahawa ang ilang platform ng developer sa pamamagitan ng utos na --install-extension, kabilang ang:

• Kodigo ng Microsoft VS
• Kursor
• Windsurfing
• VSCodium

Pangwakas na Payload na Dinisenyo para sa Pagnanakaw ng Data at Remote Control

Anuman ang unang landas ng impeksyon, nananatiling pare-pareho ang pangunahing layunin. Ginawa ang malware upang maiwasan ang mga sistemang matatagpuan sa Russia, kumuha ng sensitibong impormasyon, mag-deploy ng remote access trojan (RAT), at palihim na mag-install ng pekeng Chromium-based browser extension.

Kayang makuha ng extension ng browser na iyon ang mga kredensyal, bookmark, at karagdagang nakaimbak na data. Sa ilang variant, ang mekanismo ng paghahatid ay nakatago sa loob ng obfuscated JavaScript, kung saan ang extension ay gumaganap lamang bilang isang loader habang ang tunay na payload ay dina-download at isinasagawa pagkatapos ng pag-activate.