Glassworm-malware duikt opnieuw op binnen VS Code-ecosysteem 

In dit artikel:

Onderzoekers melden een derde golf van de Glassworm-campagne, nadat in oktober al malafide extensies opdoken in OpenVSX en de Microsoft Visual Studio Marketplace. Secure Annex (gemeld door BleepingComputer) ontdekte dat aanvallers opnieuw pakketten publiceren onder namen die lijken op bekende ontwikkelaarstools; na toelating wordt een update uitgebracht waarin de malware verborgen zit. Downloadcijfers worden kunstmatig opgekrikt zodat die extensies hoger in zoekresultaten verschijnen en vertrouwen wekken.

De kwaadaardige code gebruikt slimme verstoptechnieken: onzichtbare Unicode-tekens maken schadelijke modules moeilijk zichtbaar voor reviewers. Deze modules kunnen GitHub-, npm- en OpenVSX-tokens stelen, repositories en packages manipuleren, gestolen credentials misbruiken en het slachtofferssysteem als proxy inzetten. Er worden ook remote‑accesscomponenten geïnstalleerd, waardoor aanvallers ongezien toegang krijgen.

Glassworm werkt met een complexe, hardneembare infrastructuur: commando’s worden opgehaald via de Solana-blockchain, aanvullende instructies uit een verborgen Google Calendar-item, en onderdelen verspreiden zich via peer‑to‑peermechanismen zoals WebRTC en BitTorrent. Recent zijn er tevens Rust-gebaseerde implantaten aangetroffen. Door automatische updates van VS Code‑extensies en misbruik van npm/GitHub zijn al duizenden installaties getroffen en ontstaat er een breed supply‑chainrisico dat meerdere platformen raakt.

OpenVSX meldde in november dat het incident was ingedamd (tokens geroteerd, levensduur beperkt, automatische scans), maar de nieuwe golf laat zien dat aanvallers met nieuwe accounts binnendringen. Microsoft werkt aan verbeterde detectie en roept gebruikers op verdachte extensies te rapporteren. Beveiligingsexperts adviseren organisaties deze gebeurtenissen direct als potentiële supply‑chainincidenten te behandelen en kritisch te zijn op tooling met brede systeem- en netwerktoegang.