Ένα νέο κύμα της καμπάνιας Glassworm στοχεύει το οικοσύστημα OpenVSX με 73 “sleeper” επεκτάσεις που γίνονται κακόβουλες μετά από μια ενημέρωση.
Έξι από τις επεκτάσεις έχουν ενεργοποιηθεί και παραδίδουν κακόβουλο λογισμικό, ενώ οι ερευνητές αξιολογούν με μεγάλη σιγουριά ότι οι υπόλοιπες είναι αδρανείς ή τουλάχιστον ύποπτες.
Όταν μεταφορτώνονται αρχικά, οι επεκτάσεις είναι καλοήθεις, αλλά παραδίδουν το ωφέλιμο φορτίο σε μεταγενέστερο στάδιο, αποκαλύπτοντας την αληθινή πρόθεση του εισβολέα.
“Αυτός ο αριθμός μπορεί να αλλάξει καθώς νέες ενημερώσεις συνεχίζουν να εμφανίζονται, αλλά το μοτίβο είναι συνεπές με προηγούμενα κύματα GlassWorm”, λένε ερευνητές στην εταιρεία ασφάλειας εφαρμογών Socket.
Το GlassWorm είναι μια συνεχιζόμενη καμπάνια επίθεσης στην αλυσίδα εφοδιασμού που παρατηρήθηκε για πρώτη φορά τον Οκτώβριο, χρησιμοποιώντας αρχικά αόρατους χαρακτήρες Unicode για να κρύψει κακόβουλο κώδικα που κλέβει πορτοφόλια κρυπτονομισμάτων και διαπιστευτήρια προγραμματιστή.
Έκτοτε έχει επεκταθεί σε πολλά οικοσυστήματα, συμπεριλαμβανομένων των αποθετηρίων GitHub, των πακέτων npm και τόσο του Visual Studio Code Marketplace όσο και του OpenVSX. Έχει επίσης παρατηρηθεί ότι στοχεύουν χρήστες macOS με προγράμματα-πελάτες πορτοφολιών κρυπτογράφησης trojanized.
Ένα πρόσφατο κύμα στα μέσα Μαρτίου 2026 έδειξε σημαντική κλίμακα, επηρεάζοντας εκατοντάδες αποθετήρια και δεκάδες επεκτάσεις.
Ωστόσο, λειτουργίες τέτοιας κλίμακας μπορεί να είναι θορυβώδεις και να αφήσουν πολλαπλά ίχνη, καθώς πολλές διαφορετικές ερευνητικές ομάδες έπιασαν τη δραστηριότητα νωρίς και βοήθησαν να την αποκλείσουν.
Το τελευταίο κύμα υποδηλώνει ότι η πρόθεση του εισβολέα είναι να αλλάξει τη στρατηγική του υποβάλλοντας αβλαβείς επεκτάσεις σε ένα μόνο οικοσύστημα και εισάγοντας το κακόβουλο ωφέλιμο φορτίο σε μια επόμενη ενημέρωση, αντί να το ενσωματώσει στις επεκτάσεις.
Το Socket βρέθηκε ότι οι 73 επεκτάσεις που περιλαμβάνονται στην πιο πρόσφατη καμπάνια GlassWorm είναι κλώνοι νόμιμων καταχωρίσεων, που έχουν σχεδιαστεί για να ξεγελάσουν προγραμματιστές που δεν δίνουν μεγάλη προσοχή πέρα από τα οπτικά.
Σε μια περίπτωση, ο εισβολέας χρησιμοποίησε το ίδιο εικονίδιο με τη νόμιμη επέκταση, υιοθέτησε παρόμοια ονομασία και περιγραφή. Αν και υπάρχουν λεπτές διαφορές, οι κύριοι δείκτες είναι το όνομα του εκδότη και το μοναδικό αναγνωριστικό.
Αντί να μεταφέρουν το κακόβουλο λογισμικό, οι επεκτάσεις λειτουργούν τώρα ως λεπτοί φορτωτές που το ανακτούν μέσω μιας από τις ακόλουθες μεθόδους:
- Η επέκταση ανακτά ένα δευτερεύον πακέτο VSIX από το GitHub κατά το χρόνο εκτέλεσης και το εγκαθιστά χρησιμοποιώντας εντολές CLI.
- Οι επεκτάσεις φορτώνουν μεταγλωττισμένες μονάδες για συγκεκριμένη πλατφόρμα (αρχεία .node) που περιέχουν τη βασική λογική, συμπεριλαμβανομένης της ανάκτησης πρόσθετων ωφέλιμων φορτίων και της εκτέλεσης ρουτίνες εγκατάστασης σε υποστηριζόμενα προγράμματα επεξεργασίας.
- Ορισμένες παραλλαγές βασίζονται εξ ολοκλήρου σε πολύ ασαφή JavaScript που αποκωδικοποιεί κατά τη διάρκεια εκτέλεσης για να ανακτήσει και να εγκαταστήσει κακόβουλες επεκτάσεις, μερικές φορές που περιλαμβάνουν κρυπτογραφημένες ή εναλλακτικές διευθύνσεις URL για ανάκτηση ωφέλιμου φορτίου.
Το Socket δεν παρείχε τεχνικές λεπτομέρειες σχετικά με το νεότερο ωφέλιμο φορτίο. Προηγουμένως, αυτές οι επιθέσεις είχαν ως στόχο την κλοπή δεδομένων πορτοφολιού κρυπτονομισμάτων, διαπιστευτηρίων, διακριτικών πρόσβασης, κλειδιών SSH και δεδομένων περιβάλλοντος προγραμματιστή.
Η εταιρεία κυβερνοασφάλειας δημοσίευσε την πλήρη λίστα με τις 73 επεκτάσεις που πιστεύεται ότι αποτελούν μέρος του τελευταίου κύματος GlassWorm. Συνιστάται στους προγραμματιστές που εγκατέστησαν κάποιο από αυτά να περιστρέψουν όλα τα μυστικά και να καθαρίσουν το περιβάλλον τους.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
VIA: www.bleepingcomputer.com
