- Автор темы
- #1
Малварь GlassWorm вновь проникла в репозитории расширений для Visual Studio Code. После двух предыдущих атак злоумышленники запустили третью волну, загрузив 24 новых вредоносных пакета в OpenVSX и Microsoft Visual Studio Marketplace.
Напомним, что впервые GlassWorm был обнаружен в октябре 2025 года. Он способен похищать учетные данные GitHub, npm и OpenVSX, а также информацию криптокошельков и 49 различных расширений. Вредонос скрывает вредоносный JavaScript-код с помощью невидимых Unicode-символов.
Кроме того, GlassWorm обладает функциональностью червя и умеет распространяться самостоятельно: используя украденные учетные данные жертв, он заражает другие расширения, к которым у пострадавших есть доступ.
При этом атакующие используют блокчейн Solana для управления своим ботнетом, а в качестве резервного канала связи выступает Google Calendar.
В ноябре специалисты зафиксировали вторую атаку GlassWorm. Тогда операторы вредоноса снова проникли в OpenVSX с тремя новыми расширениями для Visual Studio Code. Червя успели загрузить более 10 000 раз, хотя после первого инцидента платформа усилила защиту.
Третью волну атак на этой неделе обнаружили специалисты из компании Secure Annex. По их словам, на этот раз атакующие стремятся заразить как можно больше целей: вредоносные пакеты маскируются под популярные инструменты и фреймворки вроде Flutter, Vim, Yaml, Tailwind, Svelte, React Native и Vue.
Фальшивка справа и оригинальный проект слева
В своем отчете специалисты опубликовали список новых вредоносных пакетов. В Microsoft Visual Studio Marketplace их было обнаружено 17, в OpenVSX — еще семь. Один из пакетов присутствует на обеих площадках.
VS Code Marketplace:
• iconkieftwo.icon-theme-materiall (удален 1 декабря 2025 года)
• prisma-inc.prisma-studio-assistance (удален 1 декабря 2025 года)
• prettier-vsc.vsce-prettier
• flutcode.flutter-extension
• csvmech.csvrainbow
• codevsce.codelddb-vscode
• saoudrizvsce.claude-devsce
• clangdcode.clangd-vsce
• cweijamysq.sync-settings-vscode
• bphpburnsus.iconesvscode
• klustfix.kluster-code-verify
• vims-vsce.vscode-vim
• yamlcode.yaml-vscode-extension
• solblanco.svetle-vsce
• vsceue.volar-vscode
• redmat.vscode-quarkus-pro
• msjsdreact.react-native-vsce
Open VSX:
• bphpburn.icons-vscode
• tailwind-nuxt.tailwindcss-for-react
• flutcode.flutter-extension
• yamlcode.yaml-vscode-extension
• saoudrizvsce.claude-dev
• saoudrizvsce.claude-devsce
• vitalik.solidity
Исследователи объясняют, что пакеты попадают в маркетплейсы безвредными и только после этого операторы червя выпускают вредоносное обновление, а затем искусственно накручивают счетчик загрузок, чтобы создать иллюзию легитимности и доверия. Кроме того, такие манипуляции с количеством скачиваний влияют на результаты поиска — малварь отображается выше в результатах поиска, зачастую рядом с оригинальным проектом, под который маскируется.
Также отмечается, что GlassWorm эволюционировал технически. Теперь вредонос использует написанный на Rust имплант, упакованный внутри расширений. Впрочем, трюк с невидимыми Unicode-символами тоже по-прежнему применяется в некоторых случаях.
Журналисты издания Bleeping Computer обратились к представителям OpenVSX и Microsoft за комментарием и спросили, почему GlassWorm продолжает обходить защиту. Представители OpenVSX не ответили, а в Microsoft сообщили:
Напомним, что впервые GlassWorm был обнаружен в октябре 2025 года. Он способен похищать учетные данные GitHub, npm и OpenVSX, а также информацию криптокошельков и 49 различных расширений. Вредонос скрывает вредоносный JavaScript-код с помощью невидимых Unicode-символов.
Кроме того, GlassWorm обладает функциональностью червя и умеет распространяться самостоятельно: используя украденные учетные данные жертв, он заражает другие расширения, к которым у пострадавших есть доступ.
При этом атакующие используют блокчейн Solana для управления своим ботнетом, а в качестве резервного канала связи выступает Google Calendar.
В ноябре специалисты зафиксировали вторую атаку GlassWorm. Тогда операторы вредоноса снова проникли в OpenVSX с тремя новыми расширениями для Visual Studio Code. Червя успели загрузить более 10 000 раз, хотя после первого инцидента платформа усилила защиту.
Третью волну атак на этой неделе обнаружили специалисты из компании Secure Annex. По их словам, на этот раз атакующие стремятся заразить как можно больше целей: вредоносные пакеты маскируются под популярные инструменты и фреймворки вроде Flutter, Vim, Yaml, Tailwind, Svelte, React Native и Vue.
Фальшивка справа и оригинальный проект слеваВ своем отчете специалисты опубликовали список новых вредоносных пакетов. В Microsoft Visual Studio Marketplace их было обнаружено 17, в OpenVSX — еще семь. Один из пакетов присутствует на обеих площадках.
VS Code Marketplace:
• iconkieftwo.icon-theme-materiall (удален 1 декабря 2025 года)
• prisma-inc.prisma-studio-assistance (удален 1 декабря 2025 года)
• prettier-vsc.vsce-prettier
• flutcode.flutter-extension
• csvmech.csvrainbow
• codevsce.codelddb-vscode
• saoudrizvsce.claude-devsce
• clangdcode.clangd-vsce
• cweijamysq.sync-settings-vscode
• bphpburnsus.iconesvscode
• klustfix.kluster-code-verify
• vims-vsce.vscode-vim
• yamlcode.yaml-vscode-extension
• solblanco.svetle-vsce
• vsceue.volar-vscode
• redmat.vscode-quarkus-pro
• msjsdreact.react-native-vsce
Open VSX:
• bphpburn.icons-vscode
• tailwind-nuxt.tailwindcss-for-react
• flutcode.flutter-extension
• yamlcode.yaml-vscode-extension
• saoudrizvsce.claude-dev
• saoudrizvsce.claude-devsce
• vitalik.solidity
Исследователи объясняют, что пакеты попадают в маркетплейсы безвредными и только после этого операторы червя выпускают вредоносное обновление, а затем искусственно накручивают счетчик загрузок, чтобы создать иллюзию легитимности и доверия. Кроме того, такие манипуляции с количеством скачиваний влияют на результаты поиска — малварь отображается выше в результатах поиска, зачастую рядом с оригинальным проектом, под который маскируется.
Также отмечается, что GlassWorm эволюционировал технически. Теперь вредонос использует написанный на Rust имплант, упакованный внутри расширений. Впрочем, трюк с невидимыми Unicode-символами тоже по-прежнему применяется в некоторых случаях.
Журналисты издания Bleeping Computer обратились к представителям OpenVSX и Microsoft за комментарием и спросили, почему GlassWorm продолжает обходить защиту. Представители OpenVSX не ответили, а в Microsoft сообщили: