Redazione RHC : 22 Ottobre 2025 06:55
I ricercatori di Koi Security hanno rilevato un attacco in supply chain che utilizza OpenVSX e Visual Studio Code Marketplace. Gli hacker criminali stanno distribuendo un malware autoreplicante chiamato GlassWorm, che è già stato installato circa 35.800 volte.
Gli esperti hanno scoperto almeno undici estensioni infette da GlassWorm in OpenVSX e una nel Visual Studio Code Marketplace:
Il malware nasconde il suo codice dannoso utilizzando caratteri Unicode invisibili. Inoltre, GlassWorm ha funzionalità simili a quelle dei worm e può diffondersi in modo indipendente: utilizzando le credenziali rubate della vittima, infetta altre estensioni a cui la vittima ha accesso.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli aggressori utilizzano la blockchain Solana per controllare la loro botnet, utilizzando Google Calendar come canale di comunicazione di backup.
Una volta installato, il malware cerca di rubare le credenziali degli account GitHub, npm e OpenVSX, nonché i dati dei wallet di criptovalute da 49 diverse estensioni. GlassWorm implementa anche un proxy SOCKS per instradare il traffico dannoso attraverso il computer della vittima e installa client VNC (HVNC) per l’accesso remoto occulto.
Il codice del worm include un indirizzo wallet con transazioni sulla blockchain Solana, che contengono link codificati in base64 ai payload per la fase successiva dell’attacco. L’utilizzo della blockchain per nascondere i payload sta guadagnando popolarità tra i criminali grazie ai suoi numerosi vantaggi operativi: resistenza ai blocchi, anonimato, costi contenuti e flessibilità per gli aggiornamenti.
Secondo i ricercatori, il payload finale di questo attacco si chiama ZOMBI ed è costituito da “codice JavaScript altamente offuscato” che trasforma i sistemi infetti in parti di una botnet. Il metodo di download del payload di fallback funziona tramite i nomi degli eventi di Google Calendar, che contengono un URL codificato in base64. Il terzo metodo di distribuzione utilizza una connessione diretta a un indirizzo IP controllato dall’aggressore (217.69.3[.]218).
Per garantire ulteriore occultamento e persistenza, il malware utilizza la Distributed Hash Table (DHT) di BitTorrent e la distribuzione decentralizzata dei comandi.
“Questa situazione è particolarmente grave perché le estensioni di VS Code si aggiornano automaticamente. Quando CodeJoy ha rilasciato la versione 1.8.3 con malware invisibile, tutti gli utenti con CodeJoy installato sono stati automaticamente infettati. Nessuna interazione da parte dell’utente. Nessun avviso. Un’infezione silenziosa e automatica”, osservano i ricercatori.
Al momento della pubblicazione del rapporto di Koi Security, almeno quattro estensioni compromesse erano ancora disponibili per il download in OpenVSX e Microsoft ha rimosso l’estensione dannosa dal suo marketplace dopo essere stata avvisata dai ricercatori. Si segnala inoltre che gli sviluppatori di vscode-theme-seti-folder e git-worktree-menu hanno aggiornato le loro estensioni e rimosso il codice dannoso.
Vale la pena notare che il mese scorso un attacco simile del worm Shai-Hulud ha colpito l’ecosistema npm, compromettendo 187 pacchetti. Il malware ha utilizzato lo scanner TruffleHog per trovare segreti, password e chiavi.
Koi Security definisce GlassWorm “uno degli attacchi alla supply chain più sofisticati” e il primo caso documentato di attacco worm su VS Code. Gli esperti avvertono che i server di comando e controllo e i server di payload di GlassWorm sono ancora attivi e che la campagna potrebbe continuare.
RedazioneIl ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
Un’importante interruzione dei servizi cloud di Amazon Web Services (AWS) ha causato problemi di connessione diffusi in tutto il mondo, coinvolgendo piattaforme di grande rilievo come Snapchat, Fort...
L’azienda cinese “Unitree Robotics” ha sfidato il primato della robotica statunitense con il lancio del suo umanoide H2 “Destiny Awakening”. L’umanoide unisce la forma umana a movimenti so...
Il 20 ottobre 2025 segna un anniversario importante per la storia dell’informatica: il processore Intel 80386, noto anche come i386, celebra il suo 40° compleanno. Ed è un compleanno importante! L...
