Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Сотни «спящих» расширений пробудились. Злоумышленники нашли способ сделать вредоносный код практически неуязвимым

GlassWorm Open VSX GitHub Solana Eclipse Foundation Socket вредоносные расширения
Сотни «спящих» расширений пробудились. Злоумышленники нашли способ сделать вредоносный код практически неуязвимым
GlassWorm Open VSX GitHub Solana Eclipse Foundation Socket вредоносные расширения

Разработчики по всему миру столкнулись с вызовом, к которому никто не был готов.

image

Кампания вредоносного ПО GlassWorm снова изменила тактику и стала заметно опаснее. За несколько дней атака через расширения для среды разработки Open VSX превратилась из скрытой подготовки в активное заражение, причём злоумышленники начали использовать внешнюю инфраструктуру, чтобы усложнить блокировку.

Специалисты компании Socket зафиксировали новую волну активности после того, как ранее «спящие» расширения начали внезапно обновляться и получать вредоносный функционал. Сначала такие пакеты выглядели безобидно и не вызывали подозрений, однако спустя часы или даже дни в них добавляли загрузчик, который подтягивал вредоносный код.

17 и 18 марта атака перешла в активную фазу. Ряд расширений превратили в наборы зависимостей, автоматически устанавливающие вредоносные компоненты. Одно из таких расширений, lauracode.wrap-selected-code, получило обновление, после которого начало скачивать вредоносный файл напрямую с GitHub и устанавливать его сразу в несколько IDE. Такой подход стал серьёзным шагом вперёд для злоумышленников — вредоносный код больше не зависит от инфраструктуры Open VSX и сложнее поддаётся удалению.

Анализ показал, что вредоносный загрузчик запускается при активации расширения, ищет установленные среды разработки и принудительно устанавливает дополнительный VSIX-файл. Вредоносный код маскируется особенно тщательно — в исходниках расширения нет подозрительных элементов, вся нагрузка добавляется уже в скомпилированный JavaScript.

Злоумышленники применили нестандартный способ управления атакой. Вместо обычных серверов используется блокчейн Solana: вредоносный код получает команды через транзакции, где в зашифрованном виде хранится ссылка на следующий этап атаки. Такой механизм почти невозможно отключить, так как отсутствует единый сервер.

Вредоносные расширения копируют популярные инструменты для разработчиков, включая помощники для Python, SQL, форматирования кода и даже интеграции с ИИ. Визуально и по описанию такие пакеты не отличаются от оригиналов, а вредоносный код скрыт в бинарной части.

Текущая волна показывает, что атака стала более продуманной и устойчивой. Злоумышленники заранее размещают «заготовки», а затем активируют их в нужный момент, подключая внешние источники и усложняя обнаружение.

FREE
100%
Кибербезопасность · Обучение
УЧИСЬ!
ИЛИ
ВЗЛОМАЮТ
Лучшие ИБ-мероприятия
и вебинары — в одном месте
ПОДПИШИСЬ
T.ME/SECWEBINARS