GlassWorm : premier ver auto-propagatif visant les extensions VS Code sur OpenVSX

Selon Koi Security (billet de blog), des chercheurs ont découvert « GlassWorm », le premier ver auto-propagatif ciblant les extensions VS Code sur la place de marché OpenVSX.

• Impact et portée: 7 extensions compromises totalisant 10 711 téléchargements. 5 extensions resteraient encore actives avec une infrastructure C2 opérationnelle (transactions blockchain, sauvegarde via Google Calendar, serveurs d’exfiltration). Le ver déploie un RAT (ZOMBI) transformant les postes de développeurs infectés en nœuds proxy criminels et vole des identifiants NPM, GitHub et crypto pour se propager.

• Techniques et furtivité: GlassWorm abuse des sélecteurs de variation Unicode pour rendre du code malveillant invisible dans les éditeurs, puis récupère des charges chiffrées depuis des transactions sur la blockchain Solana, avec les clés de déchiffrement dans les en-têtes HTTP. L’infrastructure C2 s’appuie sur la blockchain, un IP direct, et Google Calendar comme canal de sauvegarde, avec exfiltration dédiée.

• Capacités du RAT ZOMBI: Déploiement de proxies SOCKS, connexions WebRTC P2P, BitTorrent DHT pour la distribution de commandes, et HVNC pour un accès bureau à distance caché. Le ciblage inclut 49 extensions de portefeuilles crypto.

• Propagation et objectifs: Le ver se propage de façon autonome en récoltant des identifiants de développeurs (NPM, GitHub, crypto) afin d’étendre l’infection et d’opérer des nœuds proxy.

• IOCs et TTPs:

  • IOCs:
    • Wallet Solana C2: 28PKnu7RzizxBzFPoLp69HLXp9bJL3JFtT2s5QzHsEA2
    • IP C2: 217.69.3.218
    • Exfiltration: 140.82.52.31:80/wall
    • Canal de sauvegarde: Google Calendar (uhjdclolkdn@gmail.com)
  • TTPs:
    • Furtivité Unicode (sélecteurs de variation) pour masquer le code
    • C2 via blockchain Solana avec clés dans en-têtes HTTP
    • RAT ZOMBI: SOCKS, WebRTC P2P, BitTorrent DHT, HVNC
    • Vol d’identifiants (NPM, GitHub, crypto) et propagation supply chain via extensions VS Code (OpenVSX)

Type d’article: publication de recherche présentant une analyse technique et des indicateurs sur une campagne de malware/ver visant la chaîne d’approvisionnement des extensions VS Code.

🔗 Source originale : https://www.koi.security/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace

🖴 Archive : https://web.archive.org/web/20251019194611/https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace