Kampanja Glassworm, koja se prvi put pojavila na OpenVSX i Microsoft Visual Studio marketima u oktobru, sada je ušla u svoj treći talas, sa 24 nova paketa dodata na ove dvije platforme.
OpenVSX i Microsoft Visual Studio Marketplace predstavljaju repozitorijume ekstenzija za editore kompatibilne sa VS Code-om, koje developeri koriste za instalaciju podrške za jezike, frameworke, alate, teme i druge dodatke za produktivnost.
Microsoft Marketplace je zvanična platforma za Visual Studio Code, dok je OpenVSX otvorena, neutralna alternativa namijenjena editorima koji ne mogu ili ne žele da koriste Microsoftovu vlasničku prodavnicu.
Prvi put dokumentovan od strane Koi Security 20. oktobra, Glassworm je malver koji koristi “nevidljive Unicode karaktere” kako bi sakrio svoj kod tokom pregleda.
Kada ga developeri instaliraju u svoja okruženja, pokušava da ukrade GitHub, npm i OpenVSX naloge, kao i podatke iz kripto novčanika preko 49 ekstenzija.
Pored toga, malver postavlja SOCKS proxy da usmjeri maliciozni saobraćaj kroz uređaj žrtve i instalira HVNC klijent kako bi hakeri dobili prikriveni daljinski pristup.
Iako je početna infekcija uklonjena iz repozitorijuma ekstenzija, malver se ubrzo vratio na obje platforme sa novim ekstenzijama i nalozima izdavača.
Prije toga, OpenVSX je proglasio incident u potpunosti suzbijenim, uz rotaciju kompromitovanih pristupnih tokena.
Ponovno pojavljivanje Glassworma otkrio je istraživač Secure Annex-a, John Tuckner, koji navodi da nazivi paketa ukazuju na širok obim targetiranja, pokrivajući popularne alate i developerske frameworke kao što su Flutter, Vim, Yaml, Tailwind, Svelte, React Native i Vue.
Secure Annex je utvrdio da treći talas koristi pakete navedene u nastavku.
VS Marketplace
iconkieftwo.icon-theme-materiall
prisma-inc.prisma-studio-assistance
prettier-vsc.vsce-prettier
flutcode.flutter-extension
csvmech.csvrainbow
codevsce.codelddb-vscode
saoudrizvsce.claude-devsce
clangdcode.clangd-vsce
cweijamysq.sync-settings-vscode
bphpburnsus.iconesvscode
klustfix.kluster-code-verify
vims-vsce.vscode-vim
yamlcode.yaml-vscode-extension
solblanco.svetle-vsce
vsceue.volar-vscode
redmat.vscode-quarkus-pro
msjsdreact.react-native-vsce
Open VSX
bphpburn.icons-vscode
tailwind-nuxt.tailwindcss-for-react
flutcode.flutter-extension
yamlcode.yaml-vscode-extension
saoudrizvsce.claude-dev
saoudrizvsce.claude-devsce
vitalik.solidity
Kada se paketi prihvate na marketima, izdavači objave ažuriranje koje uvodi maliciozni kod, a zatim vještački povećavaju broj preuzimanja kako bi ekstenzije izgledale legitimno i pouzdano.
Takođe, vještačko povećanje broja preuzimanja može manipulisati rezultatima pretrage, pozicionirajući maliciozne ekstenzije više na listi, često odmah pored legitimnih projekata koje imitiraju.
Istraživač navodi da se Glassworm tehnički razvio, sada koristeći implante zasnovane na Rustu spakovane unutar ekstenzija. Trik sa nevidljivim Unicode karakterima takođe se i dalje koristi u pojedinim slučajevima.
Izvor: BleepingComputer