Η επίθεση της αλυσίδας εφοδιασμού GlassWorm που στοχεύει στην αγορά Open VSX έχει κλιμακωθεί με την ανακάλυψη 73 νέων επεκτάσεων “sleeper”.
Αναγνωρίστηκε τον Απρίλιο του 2026, αυτό το σύμπλεγμα σηματοδοτεί μια επικίνδυνη αλλαγή στον τρόπο με τον οποίο οι φορείς απειλών διανέμουν κακόβουλο λογισμικό στους προγραμματιστές λογισμικού.
Αυτή η δραστηριότητα ακολουθεί ένα μεγάλο κύμα που ανακαλύφθηκε τον Μάρτιο του 2026, όπου οι ερευνητές τεκμηρίωσαν 72 κακόβουλες επεκτάσεις Open VSX που συνδέονται με τη λειτουργία GlassWorm.
Οι προηγούμενες παραλλαγές έκαναν κατάχρηση των δυνατοτήτων εξάρτησης επέκτασης για να εγκαταστήσουν σιωπηλά κακόβουλους φορτωτές. Ωστόσο, το νέο σύμπλεγμα του Απριλίου 2026 δείχνει ότι οι εισβολείς εξελίσσουν τις τακτικές τους για να αποφύγουν τις σαρώσεις ασφαλείας.
Η στρατηγική επέκτασης του ύπνου
Η επέκταση ύπνου είναι ένα ψεύτικο πακέτο που δημοσιεύεται από τους φορείς απειλών πριν οπλιστεί. Αυτές οι επεκτάσεις εμφανίζονται αρχικά αβλαβείς για την οικοδόμηση οπτικής εμπιστοσύνης, την απόκτηση αξιοπιστίας και τη συγκέντρωση λήψεων.
Οι εισβολείς χρησιμοποιούν νέους λογαριασμούς GitHub για να δημοσιεύσουν κλωνοποιημένες εκδόσεις δημοφιλών εργαλείων.
Για παράδειγμα, οι εισβολείς δημιούργησαν ένα ψεύτικο πακέτο τουρκικής γλώσσας για τον κώδικα του Visual Studio που μιμούνταν πολύ τη νόμιμη έκδοση. Αντέγραψαν το εικονίδιο της υδρογείου και την περιγραφή, ενώ απλώς άλλαξαν το όνομα του εκδότη.
Μόλις οι προγραμματιστές εγκαταστήσουν αυτά τα κλωνοποιημένα εργαλεία, οι εισβολείς περιμένουν προτού προωθήσουν μια ενημέρωση λογισμικού που παρέχει το κακόβουλο λογισμικό. Τουλάχιστον έξι από τις 73 νέες επεκτάσεις έχουν ήδη ενεργοποιηθεί για την παράδοση ωφέλιμου φορτίου.
Εξελισσόμενοι Μηχανισμοί Παράδοσης
Σε αυτό το τελευταίο κύμα, η επέκταση λειτουργεί μόνο ως ένας λεπτός φορτωτής για τη λήψη εξωτερικών ωφέλιμων φορτίων.
Ο κακόβουλος κώδικας δεν είναι πλέον άμεσα ορατός στον πηγαίο κώδικα της επέκτασης, αυξάνοντας την πιθανότητα αποφυγής εντοπισμού.
Η καμπάνια χρησιμοποιεί δύο κύριες μεθόδους εκτέλεσης:
- Εγγενή δυαδικά: Τα ομαδοποιημένα αρχεία .node είναι κρυμμένα μέσα στον κώδικα επέκτασης. Ένα απλό αρχείο JavaScript εκτελεί το δυαδικό αρχείο, το οποίο περιέχει ενσωματωμένες διευθύνσεις URL που πραγματοποιούν λήψη κακόβουλων αρχείων .vsix για IDE, όπως ο Κώδικας VS και ο Δρομέας.
- Συσκοτισμένη JavaScript: Η κακόβουλη λογική είναι πολύ ασαφής και δεν βασίζεται σε ομαδοποιημένα δυαδικά αρχεία. Ο κώδικας αποκωδικοποιείται κατά το χρόνο εκτέλεσης, ανακτά ένα κακόβουλο ωφέλιμο φορτίο .vsix από μια έκδοση του GitHub και το εγκαθιστά μέσω διαδρομών γραμμής εντολών.
Δείκτες συμβιβασμού
Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν τους ακόλουθους δείκτες:
- Native Installer Binaries (SHA256): 1b62b7c2ed7cc296ce821f977ef7b22bae59ef1dcdb9a34ae19467ee39bcf168.
- Λήψη ωφέλιμου φορτίου VSIX (SHA256): 97c275e3406ad6576529f41604ad138c5bdc4297d195bf61b049e14f6b30adfd.
- Κακόβουλη φιλοξενία GitHub: github[.]com/SquadMagistrate10/wnxtgkih.
- Επιβεβαιωμένες κακόβουλες επεκτάσεις: εντολή εξωτερικής καταιγίδας. monochromator-θέμα, boulderzitunnel. vscode-φίλοι.
Σύμφωνα με την ομάδα έρευνας Socketοι προγραμματιστές πρέπει να επαληθεύσουν τους χώρους ονομάτων των εκδοτών και να επιθεωρήσουν προσεκτικά τον αριθμό λήψεων πριν εγκαταστήσουν επεκτάσεις από την αγορά Open VSX.
VIA: cybersecuritynews.com
