Phần mềm độc hại GlassWorm v2
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch độc hại quy mô lớn liên quan đến hàng chục tiện ích mở rộng của Microsoft Visual Studio Code (VS Code) được lưu trữ trên kho lưu trữ Open VSX. Chiến dịch này, được theo dõi với tên gọi GlassWorm, tập trung vào việc đánh cắp thông tin nhạy cảm từ các nhà phát triển và xâm phạm môi trường phát triển.
Các nhà điều tra đã phát hiện 73 tiện ích mở rộng đáng ngờ bắt chước các công cụ hợp pháp. Trong số đó, sáu tiện ích đã được xác nhận là độc hại, trong khi phần còn lại dường như hoạt động như các gói "ngủ đông" được thiết kế để chiếm được lòng tin của người dùng trước khi bị biến thành vũ khí thông qua các bản cập nhật.
Tất cả các phần mở rộng được xác định đều được tải lên vào đầu tháng 4 năm 2026. Kể từ ngày 21 tháng 12 năm 2025, các nhà nghiên cứu đã liên kết hơn 320 phần mềm độc hại với cơ sở hạ tầng GlassWorm rộng lớn hơn.
Mục lục
Đã xác nhận các tiện ích mở rộng độc hại
Các tiện ích mở rộng Open VSX sau đây đã được xác nhận là có hại:
- outsidestormcommand.monochromator-theme
- keyacrosslaud.auto-loop-for-antigravity
- krundoven.ironplc-fast-hub
- boulderzitunnel.vscode-buddies
- cubedivervolt.html-code-validate
- Winnerdomain17.version-lens-tool
Tấn công phi kỹ thuật thông qua việc sao chép gói phần mềm
Nhiều phần mở rộng giả mạo bắt chước sát sao các gói phần mềm đáng tin cậy thông qua các thủ thuật đánh cắp tên miền bằng cách sử dụng lỗi chính tả. Ví dụ, kẻ tấn công đã sử dụng các tên gọi gây hiểu nhầm như CEINTL.vscode-language-pack-tr thay vì Emotionkyoseparate.turkish-language-pack hợp lệ.
Để tăng độ tin cậy, các tiện ích mở rộng giả mạo này cũng sao chép các biểu tượng và mô tả gốc. Chiến lược "tạo dựng niềm tin trực quan" này giúp kẻ tấn công tăng số lượng cài đặt một cách tự nhiên bằng cách làm cho các gói phần mềm trông xác thực và an toàn.
Kẻ tấn công chuyển sang các kỹ thuật tấn công lén lút hơn.
Các nhà nghiên cứu báo cáo rằng những kẻ điều hành GlassWorm đang tích cực tinh chỉnh các phương pháp của chúng để tránh bị phát hiện. Thay vì triển khai phần mềm độc hại ngay lập tức, giờ đây chúng dựa vào các gói ngủ đông và các phụ thuộc bắc cầu ẩn có thể được kích hoạt sau này.
Chiến dịch này cũng sử dụng các phần mềm độc hại dựa trên Zig để cài đặt một tiện ích mở rộng VSIX độc hại thứ hai được lưu trữ trên GitHub. Sau khi được thực thi, trình tải có thể phát tán phần mềm độc hại trên nhiều môi trường phát triển tích hợp (IDE) được cài đặt trên cùng một hệ thống.
Nhiều IDE có nguy cơ bị phá vỡ
Phần mềm độc hại này có khả năng nhận diện và lây nhiễm nhiều nền tảng phát triển khác nhau thông qua lệnh --install-extension, bao gồm:
- Microsoft VS Code
- Con trỏ
- Lướt ván buồm
- Natri VSC
Phần mềm độc hại cuối cùng được thiết kế để đánh cắp dữ liệu và điều khiển từ xa.
Bất kể con đường lây nhiễm ban đầu như thế nào, mục tiêu cuối cùng vẫn nhất quán. Phần mềm độc hại này được thiết kế để tránh các hệ thống đặt tại Nga, thu thập thông tin nhạy cảm, triển khai phần mềm độc hại truy cập từ xa (RAT) và bí mật cài đặt tiện ích mở rộng trình duyệt dựa trên Chromium giả mạo.
Tiện ích mở rộng trình duyệt đó có thể thu thập thông tin đăng nhập, dấu trang và dữ liệu được lưu trữ khác. Trong một số biến thể, cơ chế phân phối được ẩn bên trong mã JavaScript đã được mã hóa, trong đó tiện ích mở rộng chỉ hoạt động như một trình tải trong khi phần mềm độc hại thực sự được tải xuống và thực thi sau khi kích hoạt.
