Cybersecurity-onderzoekers hebben een nieuwe reeks van drie extensies onthuld die verband houden met de GlassWorm-campagne, wat wijst op voortdurende pogingen van een deel van de bedreigingsactoren om zich te richten op het Visual Studio Code (VS Code)-ecosysteem.
De extensies in kwestie, die nog steeds beschikbaar zijn om te downloaden, worden hieronder vermeld:
GlassWorm, eind vorige maand voor het eerst gedocumenteerd door Koi Security, verwijst naar een campagne waarin bedreigingsactoren gebruik maken van VS Code-extensies op de Open VSX Registry en de Microsoft Extension Marketplace om Open VSX-, GitHub- en Git-referenties te verzamelen, geld af te tappen uit 49 verschillende cryptocurrency-portemonnee-extensies en extra tools voor externe toegang te laten vallen.
Wat de malware opmerkelijk maakt, is dat deze onzichtbare Unicode-tekens gebruikt om kwaadaardige code in code-editors te verbergen en de gestolen inloggegevens misbruikt om extra extensies in gevaar te brengen en zijn bereik verder uit te breiden, waardoor in feite een zelfreplicatiecyclus ontstaat waardoor de malware zich op een wormachtige manier kan verspreiden.
In reactie op de bevindingen zei Open VSX dat het alle kwaadaardige extensies heeft geïdentificeerd en verwijderd, naast het roteren of intrekken van bijbehorende tokens vanaf 21 oktober 2025. Uit het laatste rapport van Koi Security blijkt echter dat de dreiging voor de tweede keer is opgedoken, waarbij dezelfde onzichtbare Unicode-tekenverduisteringstruc wordt gebruikt om detectie te omzeilen.
“De aanvaller heeft een nieuwe transactie op de Solana-blockchain geplaatst, waardoor een bijgewerkt C2-eindpunt (command-and-control) wordt geboden voor het downloaden van de volgende fase”, aldus beveiligingsonderzoekers Idan Dardikman, Yuval Ronen en Lotan Sery.
“Dit demonstreert de veerkracht van op blockchain gebaseerde C2-infrastructuur: zelfs als payload-servers worden uitgeschakeld, kan de aanvaller voor een fractie van een cent een nieuwe transactie posten, en alle geïnfecteerde machines halen automatisch de nieuwe locatie op.”
De beveiligingsleverancier onthulde ook dat het een eindpunt had geïdentificeerd dat onbedoeld op de server van de aanvaller was blootgesteld, waardoor een gedeeltelijke lijst van slachtoffers in de VS, Zuid-Amerika, Europa en Azië werd onthuld. Daartoe behoort ook een grote overheidsinstantie uit het Midden-Oosten.
Verdere analyse heeft keylogger-informatie aan het licht gebracht, zogenaamd afkomstig van de eigen machine van de aanvaller, wat enkele aanwijzingen heeft opgeleverd over de herkomst van GlassWorm. Er wordt aangenomen dat de bedreigingsacteur Russisch spreekt en dat hij een open-source browserextensie C2-framework genaamd RedExt gebruikt als onderdeel van hun infrastructuur.
“Dit zijn echte organisaties en echte mensen wier inloggegevens zijn verzameld, wier machines mogelijk dienen als criminele proxy-infrastructuur, wier interne netwerken mogelijk al zijn gecompromitteerd”, aldus Koi Security.
De ontwikkeling komt kort nadat Aikido Security bevindingen heeft gepubliceerd waaruit blijkt dat GlassWorm zijn focus heeft uitgebreid naar GitHub, wat aangeeft dat de gestolen GitHub-inloggegevens worden gebruikt om kwaadaardige commits naar repositories te pushen.
