Serangan rantai pasokan yang baru dan sedang berlangsung menargetkan pengembang di pasar OpenVSX dan Microsoft Visual Studio dengan malware yang menyebar sendiri yang disebut GlassWorm dan telah diinstal sekitar 35.800 kali.
Malware menyembunyikan kode berbahayanya dengan menggunakan karakter yang tidak terlihat. Virus ini juga dapat menyebar dengan menggunakan informasi akun yang dicuri untuk menginfeksi lebih banyak ekstensi yang dapat diakses oleh korban.
Operator GlassWorm menggunakan blockchain Solana untuk perintah dan kontrol, membuat penghapusan menjadi sangat sulit, dengan Google Kalender sebagai opsi cadangan.
Microsoft Visual Studio dan platform OpenVSX menghosting ekstensi dan integrasi untuk produk Visual Studio dan selalu menjadi target pelaku ancaman yang ingin mencuri mata uang kripto[[1, 2, 3].
Para peneliti di penyedia keamanan endpoint Koi menemukan bahwa kampanye GlassWorm saat ini bergantung pada “karakter Unicode yang tidak terlihat yang membuat kode berbahaya benar-benar hilang dari editor kode.”
Sumber: Keamanan Koi
Setelah terinstal, malware mencoba mencuri kredensial untuk akun GitHub, npm, dan OpenVSX, serta data dompet cryptocurrency dari 49 ekstensi.
Selain itu, GlassWorm menyebarkan proksi SOCKS untuk merutekan lalu lintas berbahaya melalui mesin korban dan menginstal klien VNC (HVNC) untuk akses jarak jauh yang tidak terlihat.
Worm ini memiliki dompet hardcode dengan transaksi di blockchain Solana yang menyediakan tautan berkode base64 untuk payload tahap berikutnya. Menurut para peneliti, muatan terakhir disebut ZOMBI dan merupakan kode “JavaScript yang dikaburkan secara besar-besaran” yang mengubah sistem yang terinfeksi menjadi simpul untuk aktivitas penjahat dunia maya.
“Tahap terakhir GlassWorm – modul ZOMBI – mengubah setiap stasiun kerja pengembang yang terinfeksi menjadi sebuah simpul dalam jaringan infrastruktur kriminal,” Kata Keamanan Koi.
Menggunakan blockchain untuk menyembunyikan muatan adalah metode yang telah lama digunakan mendapatkan daya tarik karena berbagai manfaat operasional yang ditawarkannya, termasuk ketahanan terhadap penghapusan, anonimitas, biaya rendah, dan fleksibilitas untuk pembaruan.
Sumber: Keamanan Koi
Metode pencadangan untuk mencari sumber payload melibatkan judul acara Google Kalender yang menyertakan URL yang dikodekan base64. Mekanisme pengiriman ketiga menggunakan koneksi langsung ke alamat IP 217.69.3[.]218.
Untuk penghindaran dan ketahanan lebih lanjut, malware ini menggunakan Tabel Hash Terdistribusi (DHT) BitTorrent untuk distribusi perintah terdesentralisasi.
Para peneliti menemukan setidaknya sebelas ekstensi yang terinfeksi oleh GlassWorm di OpenVSX dan satu di VS Code Marketplace Microsoft:
- codejoy.codejoy-vscode-extension@1.8.3 dan 1.8.4
- l-igh-t.vscode-theme-seti-folder@1.2.3
- kleinesfilmroellchen.serenity-dsl-syntaxhighlight@0.3.2
- JScearcy.rust-doc-viewer@4.2.1
- SIRILMP.dark-theme-sm@3.11.4
- CodeInKlingon.git-worktree-menu@1.0.9 dan 1.0.91
- ginfuru.better-nunjucks@0.3.2
- ellacrity.recoil@0.7.4
- grrrck.positron-plus-1-e@0.0.71
- jeronimoekerdt.color-picker-universal@2.8.91
- srcery-colors.srcery-colors@0.3.9
- cline-ai-main.cline-ai-agent@3.1.3 (Microsoft VS Kode)
Para peneliti mengatakan bahwa tujuh ekstensi pada OpenVSX disusupi pada 17 Oktober dan lebih banyak infeksi terjadi dalam beberapa hari berikutnya pada OpenVSX dan VS Code. Koi Security mencatat bahwa dampak penuhnya adalah 35.800 instalasi GlassWorm aktif.
“Inilah yang membuat hal ini sangat mendesak: pembaruan otomatis ekstensi VS Code. Ketika CodeJoy meluncurkan versi 1.8.3 dengan malware yang tidak terlihat, semua orang yang menginstal CodeJoy secara otomatis diperbarui ke versi yang terinfeksi. Tidak ada interaksi pengguna. Tidak ada peringatan. Hanya senyap, infeksi otomatis,” kata para peneliti.
Pada saat penerbitan, setidaknya empat ekstensi yang ditemukan Koi Security, masih tersedia untuk diunduh di OpenVSX. Microsoft telah menghapus ekstensi berbahaya dari pasarnya setelah peringatan para peneliti.
Penerbit dari vscode-tema-seti-folder Dan git-worktree-menu telah memperbarui ekstensi untuk menghapus kode berbahaya.
Sumber: Keamanan Koi
Bulan lalu, serangan serupa ala worm dijuluki “Shai-Hulud” memukul ekosistem npm, mengorbankan 187 paket. Malware tersebut menggunakan alat pemindaian TruffleHog untuk mengidentifikasi rahasia, kata sandi, dan kunci sensitif.
Koi Security mengatakan bahwa GlassWorm “adalah salah satu serangan rantai pasokan paling canggih” dan kasus serangan mirip worm pertama yang terdokumentasikan pada VS Code.
Server C2 dan payload dalam kampanye GlassWorm tetap aktif, para peneliti memperingatkan. Pada hari Sabtu, masih ada sepuluh ekstensi yang aktif mendistribusikan malware tersebut.
