Pesquisadores identificam primeiro malware do tipo “worm” com código invisível e voltado a extensões do VS Code
https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace
Pesquisadores identificam primeiro malware do tipo “worm” com código invisível e voltado a extensões do VS Code
O GlassWorm é projetado para atacar plugins do OpenVSX, uma alternativa livre ao Visual Studio Marketplace. Ele utiliza técnicas furtivas inéditas, incluindo caracteres Unicode que não geram saída visual, tornando o código malicioso invisível em editores e imperceptível ao olho humano.
O GlassWorm emprega a blockchain Solana como infraestrutura de comando e controle, consultando transações de um endereço de carteira codificado no código.
Como transações em blockchain não podem ser alteradas ou deletadas e carteiras cripto não estão diretamente ligadas a identidades rastreáveis, mesmo que uma URL de payload conhecida seja bloqueada, o atacante pode postar uma nova transação, e todas as extensões infectadas passam a buscar o novo local, criando uma infraestrutura de C2 quase impossível de derrubar.
O malware também utiliza o Google Calendar como servidor de comando de backup.
Ele coleta tokens e credenciais do NPM, GitHub e Git para se propagar pela cadeia de suprimentos, mira 49 extensões de carteiras de criptomoedas para drenar fundos e usa credenciais roubadas para comprometer pacotes e extensões adicionais.
As extensões afetadas totalizam 35.800 downloads. Todos os usuários com atualização automática foram infectados sem qualquer interação.
Extensões comprometidas — OpenVSX (versões maliciosas):
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
Extensões Microsoft VSCode comprometidas: