Шкідливе програмне забезпечення GlassWorm версії 2

Дослідники з кібербезпеки виявили масштабну шкідливу кампанію, в якій брали участь десятки розширень Microsoft Visual Studio Code (VS Code), розміщених у репозиторії Open VSX. Операція, що відстежується як GlassWorm, спрямована на крадіжку конфіденційної інформації у розробників та компрометацію середовищ розробки.

Слідчі виявили 73 підозрілі розширення, що імітують легітимні інструменти. Серед них шість було підтверджено як шкідливі, тоді як решта, схоже, функціонують як сплячі пакети, призначені для завоювання довіри користувачів, перш ніж згодом стати зброєю через оновлення.

Усі виявлені розширення були завантажені на початку квітня 2026 року. З 21 грудня 2025 року дослідники пов’язали понад 320 шкідливих артефактів із ширшою інфраструктурою GlassWorm.

Підтверджені шкідливі розширення

Наступні розширення Open VSX були підтверджені як шкідливі:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• Winnerdomain17.version-lens-tool

Соціальна інженерія за допомогою клонованих пакетів

Багато розширень Sleeper точно імітують перевірені пакети за допомогою тактики опечаток. Наприклад, зловмисники використовували оманливі назви, такі як CEINTL.vscode-language-pack-tr, замість легітимного Emotionkyoseparate.turkish-language-pack.

Щоб посилити довіру, ці фальшиві розширення також копіювали оригінальні значки та описи. Така стратегія «візуальної довіри» допомагає зловмисникам природним чином збільшувати кількість встановлень, роблячи пакети автентичними та безпечними.

Зловмисники переходять на прихованіші методи доставки

Дослідники повідомляють, що оператори GlassWorm активно вдосконалюють свої методи, щоб уникнути виявлення. Замість негайного розгортання шкідливого програмного забезпечення, вони тепер покладаються на сплячі пакети та приховані транзитивні залежності, які можуть активуватися пізніше.

У кампанії також використовуються дроппери на базі Zig для встановлення другого шкідливого розширення VSIX, розміщеного на GitHub. Після виконання завантажувач може розподілити корисне навантаження між кількома інтегрованими середовищами розробки (IDE), встановленими на одній системі.

Кілька IDE під загрозою

Шкідливе програмне забезпечення здатне ідентифікувати та заражати кілька платформ розробників за допомогою команди --install-extension, зокрема:

• Microsoft проти Code
• Курсор
• Віндсерфінг
• VSCodium

Остаточне корисне навантаження, призначене для крадіжки даних та дистанційного керування

Незалежно від початкового шляху зараження, кінцева мета залишається незмінною. Шкідливе програмне забезпечення розроблено таким чином, щоб уникнути систем, розташованих у Росії, збирати конфіденційну інформацію, розгортати трояна віддаленого доступу (RAT) та таємно встановлювати шахрайське розширення браузера на базі Chromium.

Це розширення браузера може збирати облікові дані, закладки та додаткові збережені дані. У деяких варіантах механізм доставки прихований всередині обфускованого JavaScript, де розширення діє лише як завантажувач, тоді як реальне корисне навантаження завантажується та виконується після активації.