GlassWorm

Source: Knostic (billet de blog référencé) — Contexte: mise en garde et synthèse technique sur les extensions VS Code malveillantes observées dans la campagne GlassWorm. 🚨 Fait saillant: les IDEs développeur deviennent une surface d’attaque critique, où des extensions VS Code malveillantes servent de vecteurs de livraison de malware, avec des capacités d’exécution de code à distance, vol d’identifiants et infiltration de la supply chain. Des solutions de détection comme Knostic Kirin sont citées pour bloquer les extensions infectées à l’installation. ...

Selon Koi Security (billet de blog), des chercheurs ont découvert « GlassWorm », le premier ver auto-propagatif ciblant les extensions VS Code sur la place de marché OpenVSX. Impact et portée: 7 extensions compromises totalisant 10 711 téléchargements. 5 extensions resteraient encore actives avec une infrastructure C2 opérationnelle (transactions blockchain, sauvegarde via Google Calendar, serveurs d’exfiltration). Le ver déploie un RAT (ZOMBI) transformant les postes de développeurs infectés en nœuds proxy criminels et vole des identifiants NPM, GitHub et crypto pour se propager. ...