Láthatatlan veszély: így támad a Glassworm
A Glassworm először októberben bukkant fel, és ismertetőjele, hogy a kódját láthatatlan Unicode-karakterekkel rejti el, így a biztonsági vizsgálatok számára könnyen álcázhatja magát. Feltelepítése után a kártevő képes ellopni GitHub-, npm- és OpenVSX-fiókokhoz tartozó hitelesítő adatokat, sőt, 49 különböző bővítményből akár kriptotárca-információkat is. Emellett SOCKS-proxyt telepít, hogy a fertőzött gépet rosszindulatú célokra használhassa fel, valamint HVNC-klienst is telepít, amellyel rejtetten lehet távolról vezérelni az áldozat számítógépét.
Korábban ugyan eltávolították az első hullám fertőzött kiegészítőit, de a támadók gyorsan új kiadókkal és új bővítményekkel tértek vissza. Miközben az OpenVSX már lezártnak tekintette az incidenst, kiderült: újra megjelentek a veszélyes csomagok.
Ismert fejlesztőeszközök a támadók célkeresztjében
Az aktuális, harmadik hullámban feltűnt csaló bővítmények népszerű fejlesztői eszközöket és keretrendszereket céloznak, köztük a Fluttert, a Vimot, a YAML-t, a Tailwindet, a Svelte-et, a React Native-ot és a Vue-t. A csomagok telepítés után kapják meg a kártékony kódot, a támadók pedig letöltésszámokat hamisítanak, hogy a bővítmények a keresések élére kerüljenek, legitim projekteknek tűnjenek — gyakran egy szinten jelennek meg a valódiakkal.
Technikailag is fejlődött az új Glassworm: most már Rust-alapú kártékony modulokat rejt a bővítményekbe, és helyenként továbbra is alkalmazza a láthatatlan Unicode-trükköt.
Mit lehet tudni a terjedő bővítményekről?
A veszélyes csomagok részletes listáját közzétették, ezek többek között a következő neveken terjednek: iconkieftwo.icon-theme-materiall, prisma-inc.prisma-studio-assistance, fluttercode.flutter-extension, yamlcode.yaml-vscode-extension, vims-vsce.vscode-vim, tailwind-nuxt.tailwindcss-for-react, valamint vitalik.solidity.
A mostani támadási hullám ismét rávilágít arra, hogy a fejlesztői eszközök bővítménypiacain kiemelten oda kell figyelni a telepített csomagok eredetére és frissítéseire — a Glassworm trükkös és láthatatlan módszerei pedig komoly veszélyt jelentenek a fejlesztői közösségre.
