Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
I ricercatori di Koi Security hanno rilevato un attacco in supply chain che utilizza OpenVSX e Visual Studio Code Marketplace. Gli hacker criminali stanno distribuendo un malware autoreplicante chiamato GlassWorm, che è già stato installato circa 35.800 volte.
Gli esperti hanno scoperto almeno undici estensioni infette da GlassWorm in OpenVSX e una nel Visual Studio Code Marketplace:
Il malware nasconde il suo codice dannoso utilizzando caratteri Unicode invisibili. Inoltre, GlassWorm ha funzionalità simili a quelle dei worm e può diffondersi in modo indipendente: utilizzando le credenziali rubate della vittima, infetta altre estensioni a cui la vittima ha accesso.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli aggressori utilizzano la blockchain Solana per controllare la loro botnet, utilizzando Google Calendar come canale di comunicazione di backup.
Una volta installato, il malware cerca di rubare le credenziali degli account GitHub, npm e OpenVSX, nonché i dati dei wallet di criptovalute da 49 diverse estensioni. GlassWorm implementa anche un proxy SOCKS per instradare il traffico dannoso attraverso il computer della vittima e installa client VNC (HVNC) per l’accesso remoto occulto.
Il codice del worm include un indirizzo wallet con transazioni sulla blockchain Solana, che contengono link codificati in base64 ai payload per la fase successiva dell’attacco. L’utilizzo della blockchain per nascondere i payload sta guadagnando popolarità tra i criminali grazie ai suoi numerosi vantaggi operativi: resistenza ai blocchi, anonimato, costi contenuti e flessibilità per gli aggiornamenti.
Secondo i ricercatori, il payload finale di questo attacco si chiama ZOMBI ed è costituito da “codice JavaScript altamente offuscato” che trasforma i sistemi infetti in parti di una botnet. Il metodo di download del payload di fallback funziona tramite i nomi degli eventi di Google Calendar, che contengono un URL codificato in base64. Il terzo metodo di distribuzione utilizza una connessione diretta a un indirizzo IP controllato dall’aggressore (217.69.3[.]218).
Per garantire ulteriore occultamento e persistenza, il malware utilizza la Distributed Hash Table (DHT) di BitTorrent e la distribuzione decentralizzata dei comandi.
“Questa situazione è particolarmente grave perché le estensioni di VS Code si aggiornano automaticamente. Quando CodeJoy ha rilasciato la versione 1.8.3 con malware invisibile, tutti gli utenti con CodeJoy installato sono stati automaticamente infettati. Nessuna interazione da parte dell’utente. Nessun avviso. Un’infezione silenziosa e automatica”, osservano i ricercatori.
Al momento della pubblicazione del rapporto di Koi Security, almeno quattro estensioni compromesse erano ancora disponibili per il download in OpenVSX e Microsoft ha rimosso l’estensione dannosa dal suo marketplace dopo essere stata avvisata dai ricercatori. Si segnala inoltre che gli sviluppatori di vscode-theme-seti-folder e git-worktree-menu hanno aggiornato le loro estensioni e rimosso il codice dannoso.
Vale la pena notare che il mese scorso un attacco simile del worm Shai-Hulud ha colpito l’ecosistema npm, compromettendo 187 pacchetti. Il malware ha utilizzato lo scanner TruffleHog per trovare segreti, password e chiavi.
Koi Security definisce GlassWorm “uno degli attacchi alla supply chain più sofisticati” e il primo caso documentato di attacco worm su VS Code. Gli esperti avvertono che i server di comando e controllo e i server di payload di GlassWorm sono ancora attivi e che la campagna potrebbe continuare.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Le estensioni del browser sono da tempo un modo comune per velocizzare il lavoro e aggiungere funzionalità utili, ma un altro caso dimostra con quanta facilità questo comodo strumento possa trasform...
Una nuova versione, la 8.8.9, del noto editor di testo Notepad++, è stata distribuita dagli sviluppatori, risolvendo una criticità nel sistema di aggiornamento automatico. Questo problema è venuto ...
Questa non è la classica violazione fatta di password rubate e carte di credito clonate.È qualcosa di molto più delicato. Il data breach che ha coinvolto Pornhub nel dicembre 2025 rappresenta uno d...
Un recente studio condotto da SentinelLabs getta nuova luce sulle radici del gruppo di hacker noto come “Salt Typhoon“, artefice di una delle più audaci operazioni di spionaggio degli ultimi diec...
Con l’espansione dell’Internet of Things (IoT), il numero di dispositivi connessi alle reti wireless è in continua crescita, sia nelle case che nelle aziende . Questo scenario rende la sicurezza ...
