A támadás módszerei és terjedése
A GlassWorm a Solana blokkláncot használja irányításra, ami gyakorlatilag lehetetlenné teszi az eltávolítását, ráadásul tartalékként a Google Naptárat is igénybe veszi. A kártevő telepítése után GitHub-, npm- és OpenVSX-fiókadatokat, valamint 49 bővítményből kriptotárca-információkat gyűjt be. A támadók SOCKS proxyt telepítenek, hogy forgalmukat az áldozat gépén keresztül irányítsák, emellett láthatatlan távoli elérést (HVNC) is biztosítanak maguknak.
Fertőzött bővítmények és elkerülhetetlen automatikus terjedés
A kutatók legalább 11 fertőzött bővítményt azonosítottak az OpenVSX-en, és egyet a VS Code piactéren. Ezek közül többet automatikusan frissített az alkalmazás, így észrevétlenül rengeteg fejlesztő gépére került fel a vírus. Például amikor a CodeJoy kiadta a fertőzött 1.8.3-as verziót, minden telepített példány automatikusan megfertőződött felhasználói beavatkozás vagy figyelmeztetés nélkül.
A GlassWorm veszélye és a hasonló támadások
A GlassWorm egy többlépcsős, erősen titkosított JavaScript-kódot (ZOMBI) telepít, amely minden fertőzött fejlesztői munkaállomást a kibercsalók infrastruktúrájának részévé tesz. Irányításra decentralizált BitTorrent DHT-t, blokkláncot, sőt, IP-alapú közvetlen elérést is használ. A kutatók szerint ez az egyik legösszetettebb beszállítói támadás, és az első dokumentált vírus, amely féregszerűen terjed a VS Code világában. Bár egyes bővítményeket már eltávolítottak, több fertőzött modul még mindig elérhető, így a veszély továbbra is fennáll.
