Cybersecurity-onderzoekers hebben een zichzelf voortplantende worm ontdekt die zich verspreidt via Visual Studio Code (VS Code)-extensies op de Open VSX Registry en de Microsoft Extension Marketplace, wat onderstreept hoe ontwikkelaars een belangrijk doelwit zijn geworden voor aanvallen.
De geavanceerde dreiging, met codenaam GlasWorm van Koi Security, is de tweede dergelijke supply chain-aanval die de DevOps-ruimte trof binnen een tijdsbestek van een maand na de Shai-Hulud-worm die zich medio september 2025 op het npm-ecosysteem richtte.
Wat de aanval opvalt, is het gebruik van de Solana-blockchain voor command-and-control (C2), waardoor de infrastructuur veerkrachtig wordt tegen pogingen om de aanval uit te schakelen. Het gebruikt ook Google Agenda als C2-fallback-mechanisme.
Een ander nieuw aspect is dat de GlassWorm-campagne steunt op “onzichtbare Unicode-tekens die ervoor zorgen dat kwaadaardige code letterlijk uit code-editors verdwijnt”, zei Idan Dardikman in een technisch rapport. “De aanvaller gebruikte Unicode-variatiekiezers: speciale tekens die deel uitmaken van de Unicode-specificatie, maar geen visuele uitvoer produceren.”
Het einddoel van de aanval is het verzamelen van npm-, Open VSX-, GitHub- en Git-referenties, het aftappen van geld uit 49 verschillende cryptocurrency-portemonnee-extensies, het inzetten van SOCKS-proxyservers om ontwikkelaarsmachines om te zetten in kanalen voor criminele activiteiten, het installeren van verborgen VNC (HVNC)-servers voor toegang op afstand en het bewapenen van de gestolen inloggegevens om aanvullende pakketten en extensies in gevaar te brengen voor verdere voortplanting.
De namen van de geïnfecteerde extensies, waarvan 13 op Open VSX en één op de Microsoft Extension Marketplace, staan hieronder vermeld. Deze extensies zijn ongeveer 35.800 keer gedownload. De eerste golf van infecties vond plaats op 17 oktober 2025. Het is momenteel niet bekend hoe deze extensies zijn gekaapt.
- codejoy.codejoy-vscode-extensie 1.8.3 en 1.8.4
- l-igh-t.vscode-thema-seti-map 1.2.3
- kleinesfilmroellchen.serenity-dsl-syntaxhighlight 0.3.2
- JScearcy.rust-doc-viewer 4.2.1
- SIRILMP.dark-thema-sm 3.11.4
- CodeInKlingon.git-worktree-menu 1.0.9 en 1.0.91
- ginforu.better-nunjucks 0.3.2
- ellacrity.terugslag 0.7.4
- grrrck.positron-plus-1-e 0,0,71
- jeronimoekerdt.color-picker-universeel 2.8.91
- srcery-kleuren.srcery-kleuren 0.3.9
- sissel.shopify-liquid 4.0.1
- TretinV3.forts-api-extensie 0.3.1
- cline-ai-main.cline-ai-agent 3.1.3 (Microsoft Extension Marketplace)
De kwaadaardige code die in de extensies is verborgen, is ontworpen om te zoeken naar transacties die zijn gekoppeld aan een door de aanvaller bestuurde portemonnee op de Solana-blockchain. Als deze wordt gevonden, extraheert deze een met Base64 gecodeerde string uit het memoveld die wordt gedecodeerd naar de C2-server (“217.69.3(.)218” of “199.247.10(.)166”) die wordt gebruikt voor het ophalen van de payload van de volgende fase.
De payload is een informatiedief die inloggegevens, authenticatietokens en cryptocurrency-portemonneegegevens vastlegt en contact opneemt met een Google Agenda-evenement om een andere Base64-gecodeerde string te parseren en contact op te nemen met dezelfde server om een payload met de codenaam Zombi te verkrijgen. De gegevens worden geëxfiltreerd naar een extern eindpunt (“140.82.52(.)31:80”) dat wordt beheerd door de bedreigingsacteur.
De Zombi-module, geschreven in JavaScript, verandert een GlassWorm-infectie in wezen in een volwaardig compromis door een SOCKS-proxy, WebRTC-modules voor peer-to-peer-communicatie, BitTorrent’s Distributed Hash Table (DHT) voor gedecentraliseerde commandodistributie en HVNC voor afstandsbediening te laten vallen.
Het probleem wordt nog verergerd door het feit dat VS Code-extensies zijn geconfigureerd om automatisch te worden bijgewerkt, waardoor de bedreigingsactoren de kwaadaardige code automatisch kunnen pushen zonder dat enige gebruikersinteractie nodig is.
“Dit is geen eenmalige aanval op de supply chain”, zei Dardikman. “Het is een worm die is ontworpen om zich als een lopend vuurtje door het ecosysteem van ontwikkelaars te verspreiden.”
“Aanvallers hebben ontdekt hoe ze malware in de toeleveringsketen zelfvoorzienend kunnen maken. Ze compromitteren niet alleen individuele pakketten meer, ze bouwen wormen die zich autonoom door het hele ecosysteem van softwareontwikkeling kunnen verspreiden.”
De ontwikkeling komt op het moment dat het gebruik van blockchain voor het organiseren van kwaadaardige ladingen een enorme vlucht heeft genomen vanwege de pseudonimiteit en flexibiliteit ervan, waarbij zelfs bedreigingsactoren uit Noord-Korea de techniek gebruiken om hun spionage- en financieel gemotiveerde campagnes te orkestreren.
