Исследователи компании Koi Security зафиксировали новую волну заражений самораспространяющегося червя GlassWorm, впервые обнаруженного в октябре.
Вредонос атакует расширения для Visual Studio Code и OpenVSX Marketplace, внедряя невидимый JavaScript-код, закодированный в непечатаемых Unicode-символах.
В новой кампании заражены три расширения - ai-driven-dev.ai-driven-dev, adhamu.history-in-sublime-merge и yasuyuky.transient-emacs: всего около 10 000 установок. Управление ботнетом ведётся через инфраструктуру на базе Solana blockchain, где злоумышленники публикуют обновлённые адреса C2-серверов.
Аналитики Koi получили доступ к одному из серверов атакующих и обнаружили частичный список жертв - разработчиков и организаций из США, Южной Америки, Европы, Азии, включая одно правительственное ведомство на Ближнем Востоке. Исследователи также выявили данные, указывающие, что оператор вредоноса является русскоязычным и использует фреймворк RedExt.
Кроме OpenVSX, GlassWorm распространился на GitHub: вредоносные коммиты с тем же скрытым кодом маскируются под легитимные изменения, якобы сгенерированные ИИ. Заражённые учётные записи разработчиков используются для дальнейшего распространения червя.
Эксперты предупреждают, что GlassWorm демонстрирует новый уровень угроз для экосистемы open source: вредонос невидим для глаз и способен сам распространяться через цепочку поставок кода.
Вредонос атакует расширения для Visual Studio Code и OpenVSX Marketplace, внедряя невидимый JavaScript-код, закодированный в непечатаемых Unicode-символах.
В новой кампании заражены три расширения - ai-driven-dev.ai-driven-dev, adhamu.history-in-sublime-merge и yasuyuky.transient-emacs: всего около 10 000 установок. Управление ботнетом ведётся через инфраструктуру на базе Solana blockchain, где злоумышленники публикуют обновлённые адреса C2-серверов.
Аналитики Koi получили доступ к одному из серверов атакующих и обнаружили частичный список жертв - разработчиков и организаций из США, Южной Америки, Европы, Азии, включая одно правительственное ведомство на Ближнем Востоке. Исследователи также выявили данные, указывающие, что оператор вредоноса является русскоязычным и использует фреймворк RedExt.
Кроме OpenVSX, GlassWorm распространился на GitHub: вредоносные коммиты с тем же скрытым кодом маскируются под легитимные изменения, якобы сгенерированные ИИ. Заражённые учётные записи разработчиков используются для дальнейшего распространения червя.
Эксперты предупреждают, что GlassWorm демонстрирует новый уровень угроз для экосистемы open source: вредонос невидим для глаз и способен сам распространяться через цепочку поставок кода.
