GlassWorm

🗓️ Contexte Publié le 26 avril 2026 sur CyberAccord, cet article rapporte l’escalade de l’opération GlassWorm, une campagne de supply chain ciblant le marketplace Open VSX (alternative open source au VS Code Marketplace). Cette vague fait suite à une première découverte en mars 2026 de 72 extensions malveillantes liées à la même opération. 🎯 Stratégie des extensions dormantes (Sleeper Extensions) Les attaquants publient des extensions initialement inoffensives pour gagner en crédibilité et accumuler des téléchargements avant de les weaponiser via une mise à jour malveillante. Les techniques employées incluent : ...

🔍 Contexte Rapport publié le 2 avril 2026 par OpenSourceMalware.com, issu d’une investigation débutée le 31 janvier 2026. L’analyse documente une campagne active baptisée TasksJacker, attribuée avec un niveau de confiance MEDIUM-HIGH à des acteurs liés à la Corée du Nord (DPRK). 🎯 Vecteur d’attaque principal Les attaquants injectent des fichiers .vscode/tasks.json malveillants dans des dépôts GitHub compromis. La fonctionnalité "runOn": "folderOpen" de VS Code déclenche automatiquement l’exécution d’une commande shell dès qu’un développeur ouvre le dossier cloné — sans interaction utilisateur supplémentaire. ...

Selon The Hacker News, la campagne d’attaque de la chaîne d’approvisionnement GlassWorm s’intensifie, s’appuyant sur des extensions Open VSX malveillantes et plus de 150 dépôts GitHub compromis. Type d’attaque: attaque de la chaîne d’approvisionnement (supply chain) 🔗 Composants impliqués: des dizaines d’extensions Open VSX malveillantes 🧩; plus de 150 dépôts GitHub compromis 📦 Campagne: GlassWorm 🐛 L’article souligne l’ampleur de la compromission sur deux écosystèmes clés (extensions et dépôts de code), utilisée comme partie intégrante de la campagne GlassWorm. ...

Source: tip-o-deincognito (GlassWorm: Part 2). Ce suivi technique couvre 72 h supplémentaires de monitoring de l’infostealer macOS GlassWorm, détaillant la rotation d’infrastructure C2 via mémos Solana, la persistance des panels de gestion, la poursuite des injections GitHub et une mise à jour des IoCs. L’opérateur a publié trois mémos Solana le 13 mars menant à de nouveaux C2, a fait tourner les chemins de payload et maintient plusieurs serveurs C2 Socket.IO actifs en parallèle. Malgré un kill switch HTTP (process.exit(0)), les serveurs continuent l’« inventory-only mode » et les injections GitHub se sont poursuivies jusqu’au 14 mars. Le DHT (ex-« push-like » de config) a été abandonné, au profit de mémos Solana publics. ...

Selon BleepingComputer, une quatrième vague de la campagne GlassWorm cible des développeurs macOS en utilisant des extensions malveillantes de VSCode/OpenVSX pour livrer des versions trojanisées d’applications de portefeuilles crypto. L’attaque repose sur des extensions VSCode/OpenVSX malveillantes qui servent de vecteur pour déposer des applications de portefeuilles crypto trojanisées sur les machines des victimes. Les développeurs macOS sont explicitement visés 🎯. Contexte général Une quatrième vague de la campagne malveillante GlassWorm cible désormais exclusivement les développeurs macOS, marquant une évolution notable par rapport aux précédentes attaques orientées Windows. L’attaque repose sur des extensions malveillantes VS Code/OpenVSX qui distribuent des versions trojanisées de portefeuilles de cryptomonnaies. ...

Source: Nextron Systems (blog, 28 nov. 2025). L’éditeur décrit son pipeline de scan d’artefacts à grande échelle (Docker Hub, PyPI, NPM, extensions Chrome/VS Code) basé sur THOR Thunderstorm pour détecter scripts obfusqués, charges encodées et implants. Découverte clé ⚠️: une extension VS Code malveillante baptisée “Icon Theme: Material” publiée par “IconKiefApp” (slug Marketplace: Iconkieftwo.icon-theme-materiall) mime l’extension légitime de Philipp Kief. La version 5.29.1 publiée le 28/11/2025 à 11:34 contient deux implants Rust (un PE Windows et un Mach-O macOS) situés dans icon-theme-materiall.5.29.1/extension/dist/extension/desktop/. Plus de 16 000 installations ont été observées. La 5.29.0 ne contenait pas ces implants. L’extension a été signalée à Microsoft et était encore en ligne le 28/11 à 14:00 CET. ...

Selon BleepingComputer, la campagne Glassworm, apparue en octobre sur les marketplaces OpenVSX et Microsoft Visual Studio, en est désormais à sa troisième vague. Glassworm : une troisième vague plus massive, plus sophistiquée et mieux dissimulée 1. Une campagne persistante qui cible les écosystèmes VS Code La campagne Glassworm, apparue en octobre, entre dans sa troisième vague : ➡️ 24 nouveaux packages malveillants ont été identifiés sur le Microsoft Visual Studio Marketplace et OpenVSX. Ces plateformes fournissent des extensions aux éditeurs compatibles VS Code, ce qui en fait une cible privilégiée pour atteindre les environnements de développement. ...

Selon Secure Annex (blog), l’éditeur a observé une reprise des attaques liées au malware Glassworm exploitant les marketplaces d’extensions de code pendant la période des fêtes. L’article détaille une campagne où des extensions populaires sont clonées, leurs compteurs de téléchargements manipulés, puis mises à jour après approbation avec du code malveillant. • Nature de l’attaque: clonage d’extensions populaires (ex. outils/frameworks comme Flutter, Tailwind, Vim, YAML, Svelte, React Native, Vue), manipulation des compteurs de téléchargements pour crédibiliser les faux paquets, et mise à jour post-approbation injectant des charges malveillantes. L’attaque profite de l’interface des éditeurs de code où la fausse extension peut apparaître à côté de la légitime, rendant le choix difficile et la compromission à un clic. ⚠️ ...

Selon l’article, la campagne de malware GlassWorm, qui avait précédemment impacté les marketplaces OpenVSX et Visual Studio Code, est de retour. GlassWorm revient : trois nouvelles extensions malveillantes ont été publiées sur OpenVSX et totalisent déjà plus de 10 000 téléchargements (ai-driven-dev.ai-driven-dev — 3 400 ; adhamu.history-in-sublime-merge — 4 000 ; yasuyuky.transient-emacs — 2 400). La campagne GlassWorm avait d’abord émergé via 12 extensions (35 800 téléchargements signalés, probablement gonflés par l’opérateur) et visait les marketplaces VS Code / OpenVSX. ...

Source: Knostic (billet de blog référencé) — Contexte: mise en garde et synthèse technique sur les extensions VS Code malveillantes observées dans la campagne GlassWorm. 🚨 Fait saillant: les IDEs développeur deviennent une surface d’attaque critique, où des extensions VS Code malveillantes servent de vecteurs de livraison de malware, avec des capacités d’exécution de code à distance, vol d’identifiants et infiltration de la supply chain. Des solutions de détection comme Knostic Kirin sont citées pour bloquer les extensions infectées à l’installation. ...