Redazione RHC : 22 Ottobre 2025 06:55
I ricercatori di Koi Security hanno rilevato un attacco in supply chain che utilizza OpenVSX e Visual Studio Code Marketplace. Gli hacker criminali stanno distribuendo un malware autoreplicante chiamato GlassWorm, che è già stato installato circa 35.800 volte.
Gli esperti hanno scoperto almeno undici estensioni infette da GlassWorm in OpenVSX e una nel Visual Studio Code Marketplace:
Il malware nasconde il suo codice dannoso utilizzando caratteri Unicode invisibili. Inoltre, GlassWorm ha funzionalità simili a quelle dei worm e può diffondersi in modo indipendente: utilizzando le credenziali rubate della vittima, infetta altre estensioni a cui la vittima ha accesso.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli aggressori utilizzano la blockchain Solana per controllare la loro botnet, utilizzando Google Calendar come canale di comunicazione di backup.
Una volta installato, il malware cerca di rubare le credenziali degli account GitHub, npm e OpenVSX, nonché i dati dei wallet di criptovalute da 49 diverse estensioni. GlassWorm implementa anche un proxy SOCKS per instradare il traffico dannoso attraverso il computer della vittima e installa client VNC (HVNC) per l’accesso remoto occulto.
Il codice del worm include un indirizzo wallet con transazioni sulla blockchain Solana, che contengono link codificati in base64 ai payload per la fase successiva dell’attacco. L’utilizzo della blockchain per nascondere i payload sta guadagnando popolarità tra i criminali grazie ai suoi numerosi vantaggi operativi: resistenza ai blocchi, anonimato, costi contenuti e flessibilità per gli aggiornamenti.
Secondo i ricercatori, il payload finale di questo attacco si chiama ZOMBI ed è costituito da “codice JavaScript altamente offuscato” che trasforma i sistemi infetti in parti di una botnet. Il metodo di download del payload di fallback funziona tramite i nomi degli eventi di Google Calendar, che contengono un URL codificato in base64. Il terzo metodo di distribuzione utilizza una connessione diretta a un indirizzo IP controllato dall’aggressore (217.69.3[.]218).
Per garantire ulteriore occultamento e persistenza, il malware utilizza la Distributed Hash Table (DHT) di BitTorrent e la distribuzione decentralizzata dei comandi.
“Questa situazione è particolarmente grave perché le estensioni di VS Code si aggiornano automaticamente. Quando CodeJoy ha rilasciato la versione 1.8.3 con malware invisibile, tutti gli utenti con CodeJoy installato sono stati automaticamente infettati. Nessuna interazione da parte dell’utente. Nessun avviso. Un’infezione silenziosa e automatica”, osservano i ricercatori.
Al momento della pubblicazione del rapporto di Koi Security, almeno quattro estensioni compromesse erano ancora disponibili per il download in OpenVSX e Microsoft ha rimosso l’estensione dannosa dal suo marketplace dopo essere stata avvisata dai ricercatori. Si segnala inoltre che gli sviluppatori di vscode-theme-seti-folder e git-worktree-menu hanno aggiornato le loro estensioni e rimosso il codice dannoso.
Vale la pena notare che il mese scorso un attacco simile del worm Shai-Hulud ha colpito l’ecosistema npm, compromettendo 187 pacchetti. Il malware ha utilizzato lo scanner TruffleHog per trovare segreti, password e chiavi.
Koi Security definisce GlassWorm “uno degli attacchi alla supply chain più sofisticati” e il primo caso documentato di attacco worm su VS Code. Gli esperti avvertono che i server di comando e controllo e i server di payload di GlassWorm sono ancora attivi e che la campagna potrebbe continuare.
RedazioneI XV Giochi Nazionali della Cina si sono aperti con uno spettacolo che ha unito sport e tecnologia. Tra i protagonisti, robot capaci di suonare antichi strumenti di bronzo, sistemi di intelligenza art...
Un worm auto-propagante, denominato IndonesianFoods, è stato scoperto in npm. Genera nuovi pacchetti ogni sette secondi. Secondo Sonatype, il malware ha già creato oltre 100.000 pacchetti e questo n...
Molti di noi sono cresciuti con Hiroshi Shiba, di Jeeg robot d’acciaio che parlava con il defunto padre, il Professor Senjiro Shiba, scienziato e archeologo all’interno di un grande elaboratore. I...
Il traffico globale, come sanno i lettori di RHC, viaggia per la maggior parte sotto il mare. Secondo TeleGeography, istituto specializzato nelle telecomunicazioni, nel mondo sono attivi più di 530 s...
Un’analisi condotta negli ultimi mesi aveva evidenziato come l’evoluzione dei sistemi di intelligenza artificiale stesse raggiungendo un punto critico per la sicurezza informatica, con capacità r...
