Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

GlassWorm се враќа — повторно се вметнува во VS Code екстензии

Објавено: 11.11.2025

GlassWorm, само-пропагирачки малвер за VS Code, првпат откриен на Open VSX пазарот, продолжува да ги инфицира уредите на програмерите низ целиот свет.

GlassWorm, само-пропагирачки малвер насочен кон екстензии за Visual Studio Code (VS Code) на пазарот Open VSX, очигледно продолжил да се шири и покрај тврдењата дека заканата е сузбиена.

Истражувачите од Koi Security пријавија дека го откриле GlassWorm минатиот месец, истакнувајќи ја сложеноста на црвот како и компромитирањето на приближно 35.800 уреди на програмери. Малверот е сличен на Shai‑hulud, NPM „црв“ откриен порано годинава, кој се наметна како особено загрижувачка закана за снабдувачкиот синџир. Малверот, првпат пријавен во септември, се прошири на стотици open‑source пакети, крадејќи креденцијали без потреба од голема директна интервенција од страна на напаѓачот.

Дури и во споредба со Shai‑hulud, GlassWorm се чини како уникатна закана. Тој се шири преку Open VSX Registry, open‑source пазар за VS Code екстензии кој го управува Eclipse Foundation. Малверот користи печатливи Unicode карактери кои не се прикажуваат во код-едитор, правејќи ги практично невидливи.

GlassWorm исто така ја користи Solana blockchain за командно-контролни (C2) операции и Google Calendar како резервен команден сервер. На овој начин, тој комбинира најчести тактики на новоизлегувачки актери на закани кои се забележани во последните околу 12 месеци.

Каде што споредбите со Shai‑hulud се дополнително релевантни е во собирањето креденцијали (NPM, GitHub и Git), како и криптовалута-ворлети. Малверот исто така ги претвора уредите на програмерите во C2 инфраструктура и инсталира виртуелни сервери за целосен далечински пристап. Украдените креденцијали потоа се користат за понатамошни напади и ширење.

На 6 ноември, истражувачите од Koi Security објавија ново истражување во кое се вели дека нападите со GlassWorm продолжуваат, и покрај тоа што Eclipse Foundation минатиот месец во блог-пост изјави дека „тимот на Open VSX го смета овој инцидент за целосно сузбиен и затворен.“

Очигледно продолжуваат компромитациите со GlassWorm

Истражувачите од Koi Security детектираа „нова бран на инфекции со GlassWorm“, како и три дополнителни компромитирани екстензии, нова Solana blockchain трансакција која воспоставува C2 endpoints, и истата инфраструктура користена од напаѓачите на GlassWorm.

Уште поголема загриженост предизвикува тоа што Koi Security пристапила до серверот на напаѓачите и пронашла „делумна листа на жртви од целиот свет — САД, Јужна Америка, Европа, Азија — вклучувајќи и една голема владинa институција од Блискиот Исток.“

„Ова веќе не е само за компромитирани екстензии. Станува збор за вистински жртви, критична инфраструктура на ризик и црв кој прави токму она што предупредувавме дека ќе го стори: се шири низ екосистемот на програмерите,“ велат истражувачите во извештајот. „И не е само Open VSX. Програмерите пријавиле дека GlassWorm скокнал и во GitHub репозитории, користејќи AI-генерирани commits за да ги сокрие своите невидливи payloads во она што изгледа како легитимни промени на кодот.“

На 6 ноември, Koi Security откри три дополнителни екстензии заразени со GlassWorm: „ai-driven-dev.ai-driven-dev“, „adhamu.history-in-sublime-merge“ и „yasuyuky.transient-emacs“, како и приближно 10.000 дополнителни инфекции.

Покрај тоа, споменатата инфраструктура на напаѓачите останува речиси непроменета. „Инфраструктурата што ја документиравме пред еден месец сè уште е оперативна. Сè уште доставува payloads. Сè уште собира украдени креденцијали,“ велат истражувачите.

Dark Reading контактираше со Eclipse Foundation за дополнителен коментар.

Дополнителни наоди и заклучоци за GlassWorm

Заканите кон open‑source снабдувачкиот синџир остануваат големи, без разлика дали станува збор за црвови во снабдувачкиот синџир или ransomware со vibe кодирање.

Истражувачите од Koi Security изјавија дека добиле пристап до инфраструктурата на напаѓачите по совет од независен истражувач за експониран endpoint. Потоа, тимот успеал да ексфилтрира податоци од напаѓачите и открил дека кампањата на GlassWorm била насочена кон широк спектар организации низ целиот свет, како на индивидуално ниво на програмери, така и на организациско ниво. Според блог-постот, напаѓачот зборува руски.

„Во моментов соработуваме со органите за спроведување на законот за да ги известиме погодените жртви и да координираме напори за затворање на инфраструктурата на напаѓачот. Но реалноста е загрижувачка: оваа кампања трае повеќе од еден месец и продолжува да се шири,“ изјавија истражувачите. „Жртвите што ги откривме претставуваат само делумна слика — она што успеавме да ексфилтрираме од еден експониран endpoint. Вистинскиот обем на компромитирани уреди веројатно е многу поголем.“

Извори:

  • Darkreading – GlassWorm Returns, Slices Back into VS Code Extensions Darkreading