Lažne VS Code ekstenzije šire GlassWorm v2 malware
Istraživači su otkrili 73 sumnjive VS Code ekstenzije na Open VSX repozitorijumu povezane sa GlassWorm kampanjom, od kojih je šest potvrđeno kao zlonamerno. Ekstenzije su klonirale legitimne pakete, koristile slična imena, iste ikonice i opise kako bi stekle poverenje developera pre naknadnog aktiviranja zlonamerne funkcionalnosti. Prema Socketu, GlassWorm v2 koristi sleeper pakete, transitive dependencies i loader ekstenzije koje sa GitHub-a preuzimaju VSIX payload i instaliraju ga u više IDE okruženja, uključujući VS Code, Cursor, Windsurf i VSCodium. Cilj kampanje je krađa osetljivih podataka, instalacija RAT-a i postavljanje zlonamerne Chromium ekstenzije za krađu kredencijala, bookmarka i drugih informacija.
Developersko okruženje postaje sve privlačnija meta jer u njemu često postoje tokeni, ključevi, pristup repozitorijumima i poverenje prema alatima koji se instaliraju rutinski. Lažna ekstenzija ne mora odmah da izgleda opasno, dovoljno je da izgradi broj instalacija i reputaciju, a zatim kroz update ili dodatni payload postane ulaz u širi supply-chain incident.
- Proveriti instalirane VS Code, Cursor, Windsurf i VSCodium ekstenzije i ukloniti nepoznate ili sumnjive pakete
- Ne instalirati ekstenzije samo na osnovu ikonice, opisa ili sličnog naziva poznatom paketu
- Uvesti allowlist odobrenih IDE ekstenzija za razvojna i poslovna okruženja
- Rotirati developerse tokene, Git kredencijale i API ključeve ako je instalirana neka od pogođenih ekstenzija
- Pratiti neočekivane VSIX instalacije, GitHub preuzimanja i pokretanje komandi za automatsku instalaciju ekstenzija