Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Истражувачите открија 73 лажни VS Code екстензии што испорачуваат GlassWorm v2 малвер

Објавено: 28.04.2026

Истражувачите за сајбер-безбедност алармираа за десетици екстензии за Microsoft Visual Studio Code (VS Code) на репозиториумот Open VSX кои се поврзани со упорна кампања за крадење информации наречена GlassWorm.

Групата од 73 екстензии е идентификувана како клонирани верзии на нивните легитимни еквиваленти. Од нив, шест се потврдени како злонамерни, додека останатите делуваат како наизглед безопасни „спијачки“ пакети со цел да ги натераат корисниците да ги преземат и да изградат доверба, пред нивната вистинска намера да се открие преку подоцнежно ажурирање.

Сите екстензии биле објавени на почетокот на месецот, според компанијата за безбедност на апликации Socket, која ја следи најновата итерација под името GlassWorm v2. Вкупно, повеќе од 320 артефакти се идентификувани од 21 декември 2025 година. Листата на екстензии идентификувани како злонамерни е следна:

  • outsidestormcommand.monochromator-theme
  • keyacrosslaud.auto-loop-for-antigravity
  • krundoven.ironplc-fast-hub
  • boulderzitunnel.vscode-buddies
  • cubedivervolt.html-code-validate
  • winnerdomain17.version-lens-tool

Клонираните „спијачки“ пакети, покрај тоа што користат typosquatting (намерно погрешно напишани имиња) на оригиналните пакети (CEINTL.vscode-language-pack-tr наспроти Emotionkyoseparate.turkish-language-pack), го користат истото лого и опис како нивните легитимни верзии со цел да ги измамат невнимателните програмери и да ги натераат да ги инсталираат екстензиите.

Оваа „визуелна доверба“ делува како ефикасна тактика на социјален инженеринг за органско зголемување на бројот на инсталации, пред пакетите да бидат „отруени“ за да испорачуваат малвер до крајните корисници.

Откритието доаѓа во време кога заканувачките актери зад кампањата активно го унапредуваат својот начин на работа, префрлајќи се на „спијачки“ пакети и транзитивни зависности за да избегнат детекција, додека истовремено користат dropper-и базирани на Zig за да испорачаат секундарна VSIX екстензија хостирана на GitHub, која може да ги инфицира сите интегрирани развојни околини (IDE) на компјутерот на програмерот.

Екстензиите идентификувани од Socket делуваат како безопасен „loader“ за вистинскиот payload, кој е VSIX екстензија што се презема од GitHub и се инсталира во секоја IDE пронајдена во системот, вклучувајќи VS Code, Cursor, Windsurf и VSCodium, користејќи ја командата „–install-extension“.

Без разлика на методот што се користи, крајната цел е иста: да се изврши малвер што ги избегнува руските системи, да се украдат чувствителни податоци, да се инсталира тројанец за далечински пристап (RAT) и тајно да се распореди злонамерна екстензија базирана на Chromium за собирање на лозинки, обележувачи и други информации.

„Овој пристап го постигнува истиот резултат како и варијантата базирана на бинарни фајлови, но ја задржува логиката за испорака во обфускиран JavaScript,“ соопшти компанијата. „Екстензијата делува како loader, додека payload-от се презема и извршува по активација.“

Извори:

  • The Hacker News – Researchers Uncover 73 Fake VS Code Extensions Delivering GlassWorm v2 Malware The Hacker News