Visual Studio Code sotto attacco: il worm GlassWorm si diffonde tramite estensioni
I ricercatori di Koi Security hanno rilevato un attacco in supply chain che utilizza OpenVSX e Visual Studio Code Marketplace. Gli hacker criminali stanno distribuendo unmalware autoreplicante chiamato GlassWorm, che è già stato installato circa 35.800 volte.
Gli esperti hanno scoperto almeno undici estensioni infette da GlassWorm in OpenVSX e una nel Visual Studio Code Marketplace:
- codejoy.codejoy-vscode-extension@1.8.3 e 1.8.4;
- l-igh-t.vscode-theme-seti-folder@1.2.3;
- kleinesfilmroellchen.serenity-dsl-syntaxhighlight@0.3.2;
- JScearcy.rust-doc-viewer@4.2.1;
- SIRILMP.dark-theme-sm@3.11.4;
- CodeInKlingon.git-worktree-menu@1.0.9 e 1.0.91;
- ginfuru.better-nunjucks@0.3.2
- ellacrity.recoil@0.7.4;
- grrrck.positron-plus-1-e@0.0.71;
- jeronimoekerdt.color-picker-universal@2.8.91;
- srcery-colors.srcery-colors@0.3.9;
- cline-ai-main.cline-ai-agent@3.1.3 (Microsoft VS Code).
Il malware nasconde il suo codice dannoso utilizzando caratteri Unicode invisibili. Inoltre, GlassWorm ha funzionalità simili a quelle dei worm e può diffondersi in modo indipendente: utilizzando le credenziali rubate della vittima, infetta altre estensioni a cui la vittima ha accesso.
Gli aggressori utilizzano la blockchain Solana per controllare la loro botnet, utilizzando Google Calendar come canale di comunicazione di backup.
Una volta installato, il malware cerca di rubare le credenziali degli account GitHub, npm e OpenVSX, nonché i dati dei wallet di criptovalute da 49 diverse estensioni. GlassWorm implementa anche un proxy SOCKS per instradare il traffico dannoso attraverso il computer della vittima e installa client VNC (HVNC) per l’accesso remoto occulto.
Il codice del worm include un indirizzo wallet con transazioni sulla blockchain Solana, che contengono link codificati in base64 ai payload per la fase successiva dell’attacco. L’utilizzo della blockchain per nascondere i payload sta guadagnando popolarità tra i criminali grazie ai suoi numerosi vantaggi operativi: resistenza ai blocchi, anonimato, costi contenuti e flessibilità per gli aggiornamenti.
Secondo i ricercatori, il payload finale di questo attacco si chiama ZOMBI ed è costituito da “codice JavaScript altamente offuscato” che trasforma i sistemi infetti in parti di una botnet. Il metodo di download del payload di fallback funziona tramite i nomi degli eventi di Google Calendar, che contengono un URL codificato in base64. Il terzo metodo di distribuzione utilizza una connessione diretta a un indirizzo IP controllato dall’aggressore (217.69.3[.]218).
Per garantire ulteriore occultamento e persistenza, il malware utilizza la Distributed Hash Table (DHT) di BitTorrent e la distribuzione decentralizzata dei comandi.
“Questa situazione è particolarmente grave perché le estensioni di VS Code si aggiornano automaticamente. Quando CodeJoy ha rilasciato la versione 1.8.3 con malware invisibile, tutti gli utenti con CodeJoy installato sono stati automaticamente infettati. Nessuna interazione da parte dell’utente. Nessun avviso. Un’infezione silenziosa e automatica”, osservano i ricercatori.
Al momento della pubblicazione del rapporto di Koi Security, almeno quattro estensioni compromesse erano ancora disponibili per il download in OpenVSX e Microsoft ha rimosso l’estensione dannosa dal suo marketplace dopo essere stata avvisata dai ricercatori. Si segnala inoltre che gli sviluppatori di vscode-theme-seti-folder e git-worktree-menu hanno aggiornato le loro estensioni e rimosso il codice dannoso.
Vale la pena notare che il mese scorso un attacco simile del worm Shai-Hulud ha colpito l’ecosistema npm, compromettendo 187 pacchetti. Il malware ha utilizzato lo scanner TruffleHog per trovare segreti, password e chiavi.
Koi Security definisce GlassWorm “uno degli attacchi alla supply chain più sofisticati” e il primo caso documentato di attacco worm su VS Code. Gli esperti avvertono che i server di comando e controllo e i server di payload di GlassWorm sono ancora attivi e che la campagna potrebbe continuare.
L'articolo Visual Studio Code sotto attacco: il worm GlassWorm si diffonde tramite estensioni proviene da Red Hot Cyber.
