แคมเปญมัลแวร์ GlassWorm ที่ส่งผลกระทบต่อมาร์เก็ตเพลส OpenVSX และ Visual Studio Code เมื่อเดือนที่แล้ว ได้กลับมาอีกครั้ง โดยมาพร้อมกับ VSCode extensions ใหม่ 3 ตัว ที่มียอดดาวน์โหลดไปแล้วกว่า 10,000 ครั้ง
GlassWorm เป็นแคมเปญ และมัลแวร์ที่ใช้การโจมตีจากธุรกรรมบน Solana เพื่อดึงข้อมูล payload ที่มุ่งเป้าขโมยข้อมูล account credentials ของ GitHub, NPM และ OpenVSX รวมถึงข้อมูล cryptocurrency wallet จาก extensions 49 รายการ
มัลแวร์ตัวนี้ใช้ Unicode ที่มองไม่เห็น ซึ่งแสดงผลเป็นช่องว่าง แต่จะทำงานเป็นโค้ด JavaScript เพื่อเอื้อต่อการกระทำที่เป็นอันตราย
มัลแวร์ปรากฏตัวครั้งแรกผ่าน extensions 12 รายการบนมาร์เก็ตเพลส VS Code ของ Microsoft และ OpenVSX ซึ่งถูกดาวน์โหลดไป 35,800 ครั้ง อย่างไรก็ตาม เชื่อกันว่าจำนวนการดาวน์โหลดนั้นถูกปั่นตัวเลขโดยผู้โจมตี ทำให้ไม่ทราบผลกระทบที่แท้จริงทั้งหมดของแคมเปญนี้
เพื่อตอบสนองต่อการโจมตีครั้งนี้ OpenVSX ได้ทำการ rotated access tokens สำหรับบัญชีที่ถูก GlassWorm โจมตีเข้าไป (โดยไม่เปิดเผยจำนวน) พร้อมทั้งปรับปรุงระบบความปลอดภัย และได้ปิดเคสเหตุการณ์ดังกล่าวแล้ว
GlassWorm กลับมาอีกครั้ง
จากข้อมูลของ Koi Security ที่ติดตามแคมเปญนี้มาโดยตลอด พบว่าผู้โจมตีกลับมามุ่งเป้าที่ OpenVSX อีกครั้ง โดยใช้โครงสร้างพื้นฐานเดิม แต่มีการอัปเดต endpoints สำหรับ command-and-control (C2) และการทำธุรกรรมบนเครือข่าย Solana
OpenVSX extensions 3 รายการทีมี GlassWorm payload ได้แก่ :
ai-driven-dev.