Злонамерниот софтвер Glassworm се враќа во трет бран на малициозни пакети за VS Code

Кампањата Glassworm, која првпат се појави на OpenVSX и Microsoft Visual Studio маркетите во октомври, сега е во нејзиниот трет бран, со 24 нови пакети додадени на двете платформи.

OpenVSX и Microsoft Visual Studio Marketplace се репозиториуми за екстензии за уредувачи компатибилни со VS Code, кои ги користат развивачите за инсталирање јазична поддршка, рамки, алатки, теми и други додатоци за продуктивност.

Microsoft маркетот е официјалната платформа за Visual Studio Code, додека OpenVSX е отворена, неутрална алтернатива што ја користат уредувачите кои не можат или не сакаат да ја користат сопственичката продавница на Microsoft.

Првпат документиран од Koi Security на 20 октомври, Glassworm е малициозен софтвер што користи „невидливи Unicode знаци“ за да го сокрие својот код од преглед.

Откако развивачите ќе го инсталираат во нивните околини, тој се обидува да украде GitHub, npm и OpenVSX сметки, како и податоци од крипто-паричници од 49 екстензии.

Покрај тоа, малициозниот софтвер поставува SOCKS прокси за пренасочување на злонамерен сообраќај преку машината на жртвата и инсталира HVNC клиент за да им овозможи на операторите скриен далечински пристап.

Иако првичната инфекција беше исчистена од репозиториумите за екстензии, малициозниот софтвер набргу се врати на двете страници со нови екстензии и сметки на издавачи.

Пред ова, OpenVSX изјави дека инцидентот е целосно ставен под контрола, при што платформата ги смени компромитираните токени за пристап.

Повторната појава на Glassworm беше откриена од истражувачот на Secure Annex, Џон Такнер, кој известува дека имињата на пакетите укажуваат на широк опфат на таргетирање, кој ги покрива популарните алатки и развојни рамки како Flutter, Vim, Yaml, Tailwind, Svelte, React Native и Vue.

Secure Annex сега утврди дека третиот бран ги користи пакетите наведени подолу.

VS Marketplace

• iconkieftwo.icon-theme-materiall
• prisma-inc.prisma-studio-assistance
• prettier-vsc.vsce-prettier
• flutcode.flutter-extension
• csvmech.csvrainbow
• codevsce.codelddb-vscode
• saoudrizvsce.claude-devsce
• clangdcode.clangd-vsce
• cweijamysq.sync-settings-vscode
• bphpburnsus.iconesvscode
• klustfix.kluster-code-verify
• vims-vsce.vscode-vim
• yamlcode.yaml-vscode-extension
• solblanco.svetle-vsce
• vsceue.volar-vscode
• redmat.vscode-quarkus-pro
• msjsdreact.react-native-vsce

Open VSX

• bphpburn.icons-vscode
• tailwind-nuxt.tailwindcss-for-react
• flutcode.flutter-extension
• yamlcode.yaml-vscode-extension
• saoudrizvsce.claude-dev
• saoudrizvsce.claude-devsce
• vitalik.solidity

Откако пакетите ќе бидат прифатени на маркетите, издавачите објавуваат ажурирање кое го воведува малициозниот код, а потоа ги напумпуваат бројките на преземања за да изгледаат легитимни и доверливи.

Исто така, вештачкото зголемување на бројот на преземања може да ги манипулира резултатите од пребарувањето, па малициозната екстензија да се појави повисоко во резултатите — често многу блиску до легитимните проекти што ги имитира.

Истражувачот известува дека Glassworm технички еволуирал, па сега користи импланти базирани на Rust, спакувани внатре во екстензиите. Трикот со невидливи Unicode знаци исто така сè уште се користи во некои случаи.

BleepingComputer стапи во контакт со OpenVSX и Microsoft во врска со континуираната способност на Glassworm да ги заобиколува нивните одбранбени механизми, и ќе ја ажурира оваа објава кога ќе ги добие нивните одговори.

Ажурирање 2/12 – Microsoft му испрати на BleepingComputer следнава изјава:

„Ние продолжуваме да ги оценуваме и унапредуваме нашите скенирања и детекции за да спречиме злоупотреба. Microsoft ги охрабрува корисниците да пријавуваат сомнителна содржина преку линкот ‘Report Abuse’ што се наоѓа на секоја страница на екстензија.“

Извори:

• Bleeping Computer – Glassworm malware returns in third wave of malicious VS Code packages Bleeping Computer