Visual Studio Code sotto attacco: il worm GlassWorm si diffonde tramite estensioni

I ricercatori di Koi Security hanno rilevato un attacco in supply chain che utilizza OpenVSX e Visual Studio Code Marketplace. Gli hacker criminali stanno distribuendo un malware autoreplicante chiamato GlassWorm, che è già stato installato circa 35.800 volte.

Gli esperti hanno scoperto almeno undici estensioni infette da GlassWorm in OpenVSX e una nel Visual Studio Code Marketplace:

• [email protected] e 1.8.4;
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected] e 1.0.91;
• [email protected]
• [email protected];
• [email protected];
• [email protected];
• [email protected];
• [email protected] (Microsoft VS Code).

Il malware nasconde il suo codice dannoso utilizzando caratteri Unicode invisibili. Inoltre, GlassWorm ha funzionalità simili a quelle dei worm e può diffondersi in modo indipendente: utilizzando le credenziali rubate della vittima, infetta altre estensioni a cui la vittima ha accesso.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli aggressori utilizzano la blockchain Solana per controllare la loro botnet, utilizzando Google Calendar come canale di comunicazione di backup.

Una volta installato, il malware cerca di rubare le credenziali degli account GitHub, npm e OpenVSX, nonché i dati dei wallet di criptovalute da 49 diverse estensioni. GlassWorm implementa anche un proxy SOCKS per instradare il traffico dannoso attraverso il computer della vittima e installa client VNC (HVNC) per l’accesso remoto occulto.

Il codice del worm include un indirizzo wallet con transazioni sulla blockchain Solana, che contengono link codificati in base64 ai payload per la fase successiva dell’attacco. L’utilizzo della blockchain per nascondere i payload sta guadagnando popolarità tra i criminali grazie ai suoi numerosi vantaggi operativi: resistenza ai blocchi, anonimato, costi contenuti e flessibilità per gli aggiornamenti.

Secondo i ricercatori, il payload finale di questo attacco si chiama ZOMBI ed è costituito da “codice JavaScript altamente offuscato” che trasforma i sistemi infetti in parti di una botnet. Il metodo di download del payload di fallback funziona tramite i nomi degli eventi di Google Calendar, che contengono un URL codificato in base64. Il terzo metodo di distribuzione utilizza una connessione diretta a un indirizzo IP controllato dall’aggressore (217.69.3[.]218).

Per garantire ulteriore occultamento e persistenza, il malware utilizza la Distributed Hash Table (DHT) di BitTorrent e la distribuzione decentralizzata dei comandi.

“Questa situazione è particolarmente grave perché le estensioni di VS Code si aggiornano automaticamente. Quando CodeJoy ha rilasciato la versione 1.8.3 con malware invisibile, tutti gli utenti con CodeJoy installato sono stati automaticamente infettati. Nessuna interazione da parte dell’utente. Nessun avviso. Un’infezione silenziosa e automatica”, osservano i ricercatori.

Al momento della pubblicazione del rapporto di Koi Security, almeno quattro estensioni compromesse erano ancora disponibili per il download in OpenVSX e Microsoft ha rimosso l’estensione dannosa dal suo marketplace dopo essere stata avvisata dai ricercatori. Si segnala inoltre che gli sviluppatori di vscode-theme-seti-folder e git-worktree-menu hanno aggiornato le loro estensioni e rimosso il codice dannoso.

Vale la pena notare che il mese scorso un attacco simile del worm Shai-Hulud ha colpito l’ecosistema npm, compromettendo 187 pacchetti. Il malware ha utilizzato lo scanner TruffleHog per trovare segreti, password e chiavi.

Koi Security definisce GlassWorm “uno degli attacchi alla supply chain più sofisticati” e il primo caso documentato di attacco worm su VS Code. Gli esperti avvertono che i server di comando e controllo e i server di payload di GlassWorm sono ancora attivi e che la campagna potrebbe continuare.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.