De supply chain-campagne die bekend staat als GlassWorm heeft opnieuw de kop opgestoken en infiltreert zowel Microsoft Visual Studio Marketplace als Open VSX met 24 extensies die populaire ontwikkelaarstools en -frameworks nabootsen zoals Flutter, React, Tailwind, Vim en Vue.
GlassWorm werd voor het eerst gedocumenteerd in oktober 2025, waarin het gebruik van de Solana-blockchain voor command-and-control (C2) en het verzamelen van npm-, Open VSX-, GitHub- en Git-referenties werd beschreven, cryptocurrency-activa uit tientallen portemonnees werden gehaald en ontwikkelaarsmachines werden omgezet in door aanvallers gecontroleerde knooppunten voor andere criminele activiteiten.
Het meest cruciale aspect van de campagne is het misbruik van de gestolen inloggegevens om aanvullende pakketten en extensies in gevaar te brengen, waardoor de malware zich als een worm verspreidt. Ondanks aanhoudende inspanningen van Microsoft en Open VSX dook de malware vorige maand voor de tweede keer op en werd waargenomen dat de aanvallers zich richtten op GitHub-opslagplaatsen.
De laatste golf van de GlassWorm-campagne, opgemerkt door John Tuckner van Secure Annex, omvat in totaal 24 extensies die beide repositories omvatten. De lijst met geïdentificeerde extensies vindt u hieronder:
VS Code-marktplaats:
- iconkieftwo.icon-theme-materiall
- prisma-inc.prisma-studio-assistance (verwijderd per 1 december 2025)
- mooier-vsc.vsce-prettier
- flutcode.flutter-extensie
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-instellingen-vscode
- bphpburnsus.iconesvscode
- klustfix.cluster-code-verify
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extensie
- solblanco.svetle-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-native-vsce
VSX openen:
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-voor-reageren
- flutcode.flutter-extensie
- yamlcode.yaml-vscode-extensie
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.soliditeit
Het is gebleken dat de aanvallers het aantal downloads kunstmatig verhogen om de extensies betrouwbaar te laten lijken en ervoor te zorgen dat ze prominent in de zoekresultaten verschijnen, vaak in de buurt van de daadwerkelijke projecten die ze nabootsen om ontwikkelaars te misleiden om ze te installeren.
“Zodra de extensie in eerste instantie is goedgekeurd, lijkt de aanvaller gemakkelijk de code te kunnen updaten met een nieuwe kwaadaardige versie en gemakkelijk filters te kunnen omzeilen”, aldus Tuckner. “Veel code-extensies beginnen met een ‘activeringscontext’, en de kwaadaardige code wordt er direct na de activering in gestoken.”
De nieuwe iteratie vertrouwt nog steeds op de onzichtbare Unicode-truc, maar wordt gekenmerkt door het gebruik van op Rust gebaseerde implantaten die in de extensies zijn verpakt. In een analyse van de “icon-theme-materiall”-extensie zei Nextron Systems dat deze wordt geleverd met twee Rust-implantaten die zich kunnen richten op Windows- en macOS-systemen –
- Een Windows-DLL met de naam os.node
- Een dynamische macOS-bibliotheek met de naam darwin.node
Zoals waargenomen bij de eerdere GlassWorm-infecties, zijn de implantaten ontworpen om details van de C2-server op te halen van een Solana blockchain-portemonnee-adres en deze te gebruiken om de volgende fase van de payload, een gecodeerd JavaScript-bestand, te downloaden. Als back-up kunnen ze een Google Agenda-afspraak parseren om het C2-adres op te halen.
“Zelden publiceert een aanvaller in een week meer dan twintig kwaadaardige extensies op de populairste marktplaatsen”, aldus Tuckner in een verklaring. “Veel ontwikkelaars kunnen gemakkelijk voor de gek worden gehouden door deze extensies en zijn slechts één klik verwijderd van een compromis.”
