Az önterjedő GlassWorm vírus veszélyezteti a fejlesztőket

A támadás módszerei és terjedése

A GlassWorm a Solana blokkláncot használja irányításra, ami gyakorlatilag lehetetlenné teszi az eltávolítását, ráadásul tartalékként a Google Naptárat is igénybe veszi. A kártevő telepítése után GitHub-, npm- és OpenVSX-fiókadatokat, valamint 49 bővítményből kriptotárca-információkat gyűjt be. A támadók SOCKS proxyt telepítenek, hogy forgalmukat az áldozat gépén keresztül irányítsák, emellett láthatatlan távoli elérést (HVNC) is biztosítanak maguknak.

Fertőzött bővítmények és elkerülhetetlen automatikus terjedés

A kutatók legalább 11 fertőzött bővítményt azonosítottak az OpenVSX-en, és egyet a VS Code piactéren. Ezek közül többet automatikusan frissített az alkalmazás, így észrevétlenül rengeteg fejlesztő gépére került fel a vírus. Például amikor a CodeJoy kiadta a fertőzött 1.8.3-as verziót, minden telepített példány automatikusan megfertőződött felhasználói beavatkozás vagy figyelmeztetés nélkül.

A GlassWorm veszélye és a hasonló támadások

A GlassWorm egy többlépcsős, erősen titkosított JavaScript-kódot (ZOMBI) telepít, amely minden fertőzött fejlesztői munkaállomást a kibercsalók infrastruktúrájának részévé tesz. Irányításra decentralizált BitTorrent DHT-t, blokkláncot, sőt, IP-alapú közvetlen elérést is használ. A kutatók szerint ez az egyik legösszetettebb beszállítói támadás, és az első dokumentált vírus, amely féregszerűen terjed a VS Code világában. Bár egyes bővítményeket már eltávolítottak, több fertőzött modul még mindig elérhető, így a veszély továbbra is fennáll.

2025, adrienne, www.bleepingcomputer.com alapján