Atacurile îndreptate asupra magazinelor de extensii pentru editoare de cod au reapărut periodic de-a lungul anilor și au pus sub semnul întrebării nivelul de încredere din ecosistemele de dezvoltare. Campania Glassworm, semnalată pentru prima dată în octombrie și documentată de același grup pe 20 octombrie, vizează extensii publicate pe OpenVSX și pe Microsoft Visual Studio Marketplace; în al treilea val recent observat au fost introduse 24 de pachete noi pe ambele platforme.
OpenVSX și Microsoft Visual Studio Marketplace sunt depozite de extensii folosite de dezvoltatori pentru a instala suport pentru limbaje, framework-uri, instrumente și teme compatibile cu editoare tip VS Code. Marketplace-ul Microsoft este canalul oficial pentru Visual Studio Code, pe când OpenVSX reprezintă o alternativă deschisă și neutră pentru cei care nu pot sau nu vor să utilizeze magazinul proprietar al Microsoft. Campania Glassworm folosește metode subtile pentru a ocoli verificările: codul malițios este uneori ascuns cu caractere Unicode invizibile, astfel încât analiza vizuală sau cea automată să nu-l depisteze imediat.
După ce o extensie compromisă este acceptată pe aceste platforme, atacatorii publică un update care introduce efectiv payload-ul rău intenționat și apoi umflă artificial numărul de descărcări pentru a crea aparența legitimității; această stratagemă influențează și rezultatele căutărilor, ridicând extensia periculoasă aproape de proiectele autentice pe care le imită. Koi Security a documentat campania încă din 20 octombrie, iar investigațiile ulterioare au arătat că Glassworm încearcă să sustragă conturi GitHub, npm și OpenVSX, precum și informații din portofele de criptomonede, afectând în total 49 de extensii compromise. Pe lângă aceste furturi de acreditări, malware-ul instalează un proxy SOCKS pentru a redirecționa traficul malițios prin sistemul victimei și un client HVNC pentru acces remote discret, oferind operatorilor control ascuns asupra mediilor infectate.
Deși prima serie de pachete infectate fusese eliminată din depozite, campania a revenit rapid cu noi conturi de publisher și pachete. OpenVSX comunicase anterior că incidentul fusese conținut și că a înlocuit token-urile de acces compromise, dar revenirea evidentă indică faptul că amenințarea nu era încheiată. Reapariția a fost semnalată de cercetătorul John Tuckner de la Secure Annex, care a remarcat că denumirile pachetelor sugerează o țintire extinsă a unor instrumente și framework-uri populare: Flutter, Vim, Yaml, Tailwind, Svelte, React Native, Vue și altele. Cercetătorii au observat și o evoluție tehnică: implanturi scrise în Rust incluse în interiorul extensiilor, iar în unele cazuri trucul cu caracterele Unicode invizibile rămâne folosit.
Secure Annex a publicat lista pachetelor implicate în valul trei. Pe Microsoft Marketplace apar nume precum iconkieftwo.icon-theme-materiall, prisma-inc.prisma-studio-assistance, prettier-vsc.vsce-prettier, flutcode.flutter-extension, csvmech.csvrainbow, codevsce.codelddb-vscode, saoudrizvsce.claude-devsce, clangdcode.clangd-vsce, cweijamysq.sync-settings-vscode, bphpburnsus.iconesvscode, klustfix.kluster-code-verify, vims-vsce.vscode-vim, yamlcode.yaml-vscode-extension, solblanco.svetle-vsce, vsceue.volar-vscode și redmat.vscode-quarkus-pro, precum și msjsdreact.react-native-vsce. Pe OpenVSX au fost observate printre altele bphpburn.icons-vscode, tailwind-nuxt.tailwindcss-for-react, flutcode.flutter-extension, yamlcode.yaml-vscode-extension, saoudrizvsce.claude-dev, saoudrizvsce.claude-devsce și vitalik.solidity. Strategia este simplă și eficientă: după ce o extensie este acceptată, autorii adaugă payload-ul malițios printr-un update și încearcă să câștige încredere prin numere mari de descărcări false.
Jurnaliștii de la BleepingComputer au contactat atât OpenVSX, cât și Microsoft pentru a afla cum a reușit Glassworm să pătrundă din nou pe aceste platforme și pentru a solicita detalii despre măsurile luate. Microsoft a declarat că își evaluează și îmbunătățește continuu scanările și mecanismele de detecție pentru a preveni abuzurile și încurajează utilizatorii să raporteze conținutul suspect folosind linkul Report Abuse de pe fiecare pagină de extensie. Rămâne clar că încrederea implicită în numărul de descărcări și în denumirile familiare ale pachetelor poate fi exploatată, iar detectarea automată trebuie susținută prin vigilență umană și proceduri de verificare mai riguroase.
Glassworm a revenit în trei valuri și a folosit 24 de pachete noi în această etapă. Abordarea combină tehnici de inginerie socială cu implanturi tehnice, de la Rust la HVNC și proxy SOCKS, și ilustrează cum lanțul de livrare al instrumentelor pentru dezvoltatori poate constitui o poartă de intrare pentru actori nedoriți. În practică, asta înseamnă că atât platformele care găzduiesc extensii, cât și dezvoltatorii care le instalează au nevoie de proceduri clare: verificarea semnăturilor, prudență față de update-urile neașteptate, monitorizarea activității de rețea și raportarea rapidă atunci când apar anomalii sau pachete care imită proiecte cunoscute. Ce măsuri, după părerea ta, ar trebui să adopte dezvoltatorii și platformele pentru a preveni astfel de atacuri?
Fii primul care comentează