Selon BleepingComputer, la campagne Glassworm, apparue en octobre sur les marketplaces OpenVSX et Microsoft Visual Studio, en est désormais à sa troisième vague.
Glassworm : une troisième vague plus massive, plus sophistiquée et mieux dissimulée
1. Une campagne persistante qui cible les écosystèmes VS Code
La campagne Glassworm, apparue en octobre, entre dans sa troisième vague :
➡️ 24 nouveaux packages malveillants ont été identifiés sur le Microsoft Visual Studio Marketplace et OpenVSX.
Ces plateformes fournissent des extensions aux éditeurs compatibles VS Code, ce qui en fait une cible privilégiée pour atteindre les environnements de développement.
Glassworm utilise des caractères Unicode invisibles pour masquer du code malveillant et contourner les processus de revue.
2. Objectif : compromettre développeurs et supply chain logiciels
Une fois installées, ces extensions infectées permettent aux opérateurs de Glassworm de :
- Dérober des identifiants GitHub, npm et OpenVSX
- Voler des portefeuilles crypto associés à 49 extensions ciblées
- Déployer un proxy SOCKS pour relayer du trafic malveillant
- Installer un client HVNC afin d’obtenir un accès furtif distant
➡️ Une attaque complète supply-chain / compromission développeurs / exfiltration + contrôle.
3. Une réapparition malgré les contre-mesures
OpenVSX avait déclaré le problème « contenu » (rotation de tokens, nettoyage), mais Glassworm revient :
- nouveaux comptes éditeurs
- nouveaux noms d’extensions imitant des projets populaires
- téléchargements artificiellement gonflés pour manipuler le ranking
Ceci rapproche dangereusement les extensions malveillantes de leurs versions légitimes dans les résultats de recherche.
Les cibles imitées couvrent une grande variété d’outils :
Flutter, Vim, Tailwind, YAML, Svelte, Vue, React Native, Solidity, etc.
Glassworm évolue techniquement :
- intégration d’implants Rust
- persistance du camouflage Unicode
- mécanismes de publication légitimes → puis mise à jour malveillante « post-acceptation »
4. TTPs observées
Techniques employées (MITRE ATT&CK – contextualisé) :
- T1195 – Supply Chain Compromise : extensions infectées distribuées via stores officiels
- T1059 – Obfuscated JavaScript / Unicode invisible
- T1036 – Masquerading : extensions imitant des projets légitimes
- T1556 – Credential Theft (GitHub, npm, OpenVSX)
- T1090 – Proxy / Traffic Relay (SOCKS)
- T1573 – Encrypted C2 channels via implants Rust
- T1584 – Infrastructure Setup : nouveaux éditeurs + gonflage des téléchargements
- T1134 – HVNC / Remote Access Stealth
5. IoCs — Packages malveillants identifiés
📌 Microsoft VS Marketplace
- iconkieftwo.icon-theme-materiall
- prisma-inc.prisma-studio-assistance
- prettier-vsc.vsce-prettier
- flutcode.flutter-extension
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.kluster-code-verify
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extension
- solblanco.svetle-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-native-vsce
📌 Open VSX
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-for-react
- flutcode.flutter-extension
- yamlcode.yaml-vscode-extension
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.solidity
🎯 Conclusion
Glassworm montre une résilience et une sophistication grandissantes, exploitant le modèle de confiance des marketplaces VS Code pour infecter les environnements de développement à large échelle.
Malgré les contre-mesures, les attaquants reviennent avec :
- de nouvelles techniques (implants Rust, Unicode invisible)
- de nouveaux éditeurs
- des packages plausibles et populaires
- des manipulations du ranking
➡️ Un risque majeur pour la supply chain logicielle, touchant directement les développeurs et leurs comptes GitHub/npm.
Microsoft affirme renforcer ses mécanismes de détection, tout en invitant les utilisateurs à signaler les extensions suspectes via Report Abuse.
Type d’article: analyse de menace visant à informer sur la progression d’une campagne de packages malveillants ciblant des marketplaces de développement.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-in-third-wave-of-malicious-vs-code-packages/