Serangan malware GlassWorm kembali melalui 73 ekstensi “sleeper” OpenVSX

Gelombang baru kampanye Glassworm menargetkan ekosistem OpenVSX dengan 73 ekstensi “sleeper” yang berubah menjadi berbahaya setelah pembaruan.

Enam dari ekstensi tersebut telah diaktifkan dan mengirimkan malware, sementara para peneliti menilai dengan keyakinan tinggi bahwa ekstensi lainnya tidak aktif atau setidaknya mencurigakan.

Saat pertama kali diunggah, ekstensi tersebut tidak berbahaya namun mengirimkan muatan pada tahap selanjutnya, sehingga mengungkap niat sebenarnya penyerang.

“Hitungan ini mungkin berubah karena pembaruan baru terus bermunculan, namun polanya konsisten dengan gelombang GlassWorm sebelumnya,” kata peneliti di perusahaan keamanan aplikasi Socket.

GlassWorm adalah kampanye serangan rantai pasokan yang sedang berlangsung pertama kali diamati pada bulan Oktoberawalnya menggunakan karakter Unicode yang tidak terlihat untuk menyembunyikan kode berbahaya yang mencuri dompet mata uang kripto dan kredensial pengembang.

Sejak itu, ia telah berkembang di berbagai ekosistem, termasuk repositori GitHub, paket npm, dan keduanya Pasar Kode Visual Studio Dan BukaVSX. Mereka juga diketahui menargetkan pengguna macOS klien dompet kripto yang di trojan.

Gelombang baru yang terjadi pada pertengahan Maret 2026 menunjukkan skala yang signifikan, memengaruhi ratusan repositori dan puluhan ekstensi.

Namun, operasi dalam skala seperti itu dapat menimbulkan banyak gangguan dan meninggalkan banyak jejak, karena terdapat banyak tim peneliti yang berbeda mengetahui aktivitas tersebut lebih awal dan membantu memblokirnya.

Gelombang terbaru menunjukkan bahwa niat penyerang adalah mengubah strategi mereka dengan mengirimkan ekstensi yang tidak berbahaya ke satu ekosistem dan memasukkan muatan berbahaya dalam pembaruan berikutnya, daripada menyematkannya ke dalam ekstensi.

Soket telah ditemukan bahwa 73 ekstensi yang terlibat dalam kampanye GlassWorm terbaru adalah tiruan dari listingan sah, yang dirancang untuk mengelabui pengembang yang tidak terlalu memperhatikan selain visual.

Dalam satu kasus, penyerang menggunakan ikon yang sama dengan ekstensi yang sah, mengadopsi penamaan dan deskripsi yang serupa. Meskipun terdapat sedikit perbedaan, indikator utamanya adalah nama penerbit dan pengenal unik.

Alih-alih membawa malware, ekstensi tersebut kini bertindak sebagai pemuat tipis yang mengambilnya melalui salah satu metode berikut:

• Ekstensi ini mengambil paket VSIX sekunder dari GitHub saat runtime dan menginstalnya menggunakan perintah CLI.
• Ekstensi memuat modul terkompilasi khusus platform (file .node) yang berisi logika inti, termasuk mengambil muatan tambahan dan menjalankan rutinitas instalasi di seluruh editor yang didukung.
• Beberapa varian bergantung sepenuhnya pada JavaScript yang sangat dikaburkan yang didekodekan saat runtime untuk mengambil dan memasang ekstensi berbahaya, terkadang termasuk URL terenkripsi atau cadangan untuk pengambilan payload.

Socket tidak memberikan rincian teknis tentang muatan terbarunya. Sebelumnya, serangan ini ditujukan untuk mencuri data dompet mata uang kripto, kredensial, token akses, kunci SSH, dan data lingkungan pengembang.

Perusahaan keamanan siber telah menerbitkan daftar lengkap 73 ekstensi yang diyakini sebagai bagian dari gelombang GlassWorm terbaru. Pengembang yang menginstal salah satu dari mereka disarankan untuk memutar semua rahasia dan membersihkan lingkungan mereka.