GlassWorm malver se širi kroz zloupotrebu zavisnosti u Open VSX ekstenzijama
Istraživači kompanije Socket otkrili su novu fazu GlassWorm supply-chain kampanje u kojoj napadači objavljuju naizgled čiste Open VSX ekstenzije, a zatim ih naknadno ažuriraju tako da preko extensionPack i extensionDependencies mehanizama povlače zasebne ekstenzije sa malicioznim payloadom. Od 31. januara 2026. identifikovano je najmanje 72 dodatnih zlonamernih ekstenzija povezanih sa ovom kampanjom. Meta su programeri, a ekstenzije se predstavljaju kao korisni alati, uključujući lintere, formatere, database alate i dodatke za AI coding asistente poput Claude Code, Codex i Antigravity. Ovaj model omogućava napadačima da početna ekstenzija deluje legitimno, prođe provere i stekne poverenje, dok se malver isporučuje kasnije kroz zavisnosti.
Ova kampanja pokazuje da rizik više nije samo u tome šta ekstenzija radi u trenutku instalacije, već i šta može da povuče kasnije kao svoju zavisnost. To menja način na koji treba posmatrati bezbednost developer alata: nije dovoljno proveriti samo paket koji se vidi, već i ceo lanac odnosa koji on može da aktivira kroz ažuriranja.
- Tretirati ekstenzije i njihove zavisnosti isto kao i softverske pakete u supply-chain procenama
- Redovno proveravati dependency odnose i izmene u ekstenzijama posle inicijalne instalacije
- Ograničiti instalaciju ekstenzija na proverene publishere i odobrene interne liste
- Pratiti ažuriranja developer alata i uvoditi dodatnu kontrolu pre automatskog update-a
- Pregledati IOC liste i ukloniti sumnjive Open VSX ekstenzije iz razvojnih okruženja
- Posebno obratiti pažnju na dodatke koji imitiraju popularne alate, lintere, formatere i AI coding asistente