GlassWorm trở lại với 24 tiện ích mở rộng độc hại giả mạo các công cụ phát triển

[T-X]

Chiến dịch chuỗi cung ứng mang tên GlassWorm một lần nữa lại trỗi dậy, xâm nhập vào cả Microsoft Visual Studio Marketplace và Open VSX với 24 tiện ích mở rộng giả mạo các công cụ và khuôn khổ phát triển phổ biến như Flutter, React, Tailwind, Vim và Vue.

GlassWorm lần đầu tiên được ghi nhận vào tháng 10 năm 2025, nêu chi tiết về việc sử dụng blockchain Solana để chỉ huy và kiểm soát (C2) và thu thập thông tin đăng nhập npm, Open VSX, GitHub và Git, rút cạn tài sản tiền điện tử từ hàng chục ví và biến máy của nhà phát triển thành các nút do kẻ tấn công kiểm soát cho các hoạt động tội phạm khác.

Khía cạnh quan trọng nhất của chiến dịch này là việc lợi dụng thông tin đăng nhập bị đánh cắp để xâm nhập các gói và tiện ích mở rộng bổ sung, từ đó phát tán phần mềm độc hại như một loại sâu máy tính. Bất chấp những nỗ lực liên tục của Microsoft và Open VSX, phần mềm độc hại đã tái xuất lần thứ hai vào tháng trước, và những kẻ tấn công được phát hiện đang nhắm mục tiêu vào các kho lưu trữ GitHub.

Đợt tấn công mới nhất của chiến dịch GlassWorm, được John Tuckner của Secure Annex phát hiện, bao gồm tổng cộng 24 tiện ích mở rộng trải dài trên cả hai kho lưu trữ. Danh sách các tiện ích mở rộng được xác định như sau:

Chợ VS Code:

    iconkieftwo.icon-theme-materiall
    prisma-inc.prisma-studio-assistance ( đã xóa kể từ ngày 1 tháng 12 năm 2025)
    đẹp hơn-vsc.vsce-đẹp hơn
    flutcode.flutter-extension
    csvmech.csvrainbow
    codevsce.codelddb-vscode
    saoudrizvsce.claude-devsce
    clangdcode.clangd-vsce
    cweijamysq.sync-settings-vscode
    bphpburnsus.iconesvscode
    klustfix.kluster-code-verify
    vims-vsce.vscode-vim
    yamlcode.yaml-vscode-extension
    solblanco.svetle-vsce
    vsceue.volar-vscode
    redmat.vscode-quarkus-pro
    msjsdreact.react-native-vsce

Open VSX:

    bphpburn.icons-vscode
    tailwind-nuxt.tailwindcss-cho-react
    flutcode.flutter-extension
    yamlcode.yaml-vscode-extension
    saoudrizvsce.claude-dev
    saoudrizvsce.claude-devsce
    vitalik.solidity

Những kẻ tấn công đã cố tình tăng số lượt tải xuống để khiến các tiện ích mở rộng có vẻ đáng tin cậy và khiến chúng xuất hiện nổi bật trong kết quả tìm kiếm, thường là ở gần các dự án thực tế mà chúng mạo danh để lừa các nhà phát triển cài đặt chúng.

"Một khi phần mở rộng đã được phê duyệt ban đầu, kẻ tấn công dường như có thể dễ dàng cập nhật mã bằng phiên bản độc hại mới và dễ dàng vượt qua các bộ lọc", Tuckner nói. "Nhiều phần mở rộng mã bắt đầu bằng ngữ cảnh 'kích hoạt', và mã độc được chèn vào ngay sau khi quá trình kích hoạt diễn ra."

Phiên bản mới, mặc dù vẫn dựa trên thủ thuật Unicode vô hình, được đặc trưng bởi việc sử dụng các mã độc Rust được đóng gói bên trong các tiện ích mở rộng. Trong một phân tích về tiện ích mở rộng "icon-theme-materiall", Nextron Systems cho biết nó đi kèm với hai mã độc Rust có khả năng nhắm mục tiêu vào các hệ thống Windows và macOS -

    Một DLL Windows có tên os.node
    Một thư viện động macOS có tên là darwin.node

Như đã quan sát thấy trong các đợt lây nhiễm GlassWorm trước đây, các mã độc được thiết kế để lấy thông tin chi tiết về máy chủ C2 từ địa chỉ ví blockchain Solana và sử dụng địa chỉ này để tải xuống phần mềm độc hại giai đoạn tiếp theo, một tệp JavaScript được mã hóa. Để sao lưu, chúng có thể phân tích cú pháp một sự kiện Google Calendar để lấy địa chỉ C2.

"Hiếm khi nào kẻ tấn công lại đăng tải hơn 20 tiện ích mở rộng độc hại trên cả hai nền tảng phổ biến nhất trong một tuần", Tuckner cho biết trong một tuyên bố. "Nhiều nhà phát triển có thể dễ dàng bị lừa bởi những tiện ích mở rộng này và chỉ cần một cú nhấp chuột là có thể bị tấn công."