Selon l’article, la campagne de malware GlassWorm, qui avait précédemment impacté les marketplaces OpenVSX et Visual Studio Code, est de retour.
GlassWorm revient : trois nouvelles extensions malveillantes ont été publiées sur OpenVSX et totalisent déjà plus de 10 000 téléchargements (ai-driven-dev.ai-driven-dev — 3 400 ; adhamu.history-in-sublime-merge — 4 000 ; yasuyuky.transient-emacs — 2 400). La campagne GlassWorm avait d’abord émergé via 12 extensions (35 800 téléchargements signalés, probablement gonflés par l’opérateur) et visait les marketplaces VS Code / OpenVSX.
Technique et charge utile : le malware utilise des transactions Solana pour récupérer une charge utile qui cible identifiants GitHub, NPM et OpenVSX ainsi que données de portefeuilles crypto (49 extensions affectées). La charge est dissimulée par des caractères Unicode invisibles qui rendent du code JavaScript « invisible » dans les bundles et facilitent l’exécution malveillante. Les opérateurs ont mis à jour leurs endpoints C2 et leurs transactions Solana lors du retour.
Infrastructure et victimes : selon Koi Security, une intrusion sur le serveur des attaquants (grâce à un tip anonyme) a permis d’extraire des données sur des victimes réparties aux États-Unis, Amérique du Sud, Europe, Asie et une entité gouvernementale au Moyen-Orient ; 60 victimes distinctes ont été identifiées dans la liste partielle récupérée. Les opérateurs sont décrits comme russo-locuteurs et utilisant le framework C2 open-source RedExt. Open VSX avait précédemment roté des tokens d’accès et appliqué des renforcements de sécurité après la première vague.
TTPs & IoC (extraites de l’article) :
- TTPs — distribution via extensions de marketplace (supply-chain), obfuscation par caractères Unicode invisibles exécutés comme JS, récupération de charge via transactions Solana, C2 via RedExt, exfiltration d’identifiants GitHub/NPM/OpenVSX et données de wallets.
- IoC — noms d’extensions malveillantes actuellement actives sur OpenVSX :
ai-driven-dev.ai-driven-dev,adhamu.history-in-sublime-merge,yasuyuky.transient-emacs. Koi Security indique également des endpoints C2 et une liste de victimes partagée aux forces de l’ordre (détails techniques non publiés dans l’article).
Il s’agit d’une alerte de sécurité visant à informer sur la réapparition de la campagne et la présence de nouvelles extensions malveillantes dans l’écosystème VSCode.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-on-openvsx-with-3-new-vscode-extensions/