Исследователи в области кибербезопасности зафиксировали очередной виток эволюции кампании GlassWorm. На этот раз злоумышленники используют свежий загрузчик (дроппер), написанный на языке программирования Zig. Его главная цель — незаметно заразить все среды разработки (IDE), установленные на компьютере программиста.
Технику обнаружения удалось выявить благодаря расширению для Open VSX под названием «specstudio.code-wakatime-activity-tracker». На первый взгляд оно выглядело как популярный инструмент WakaTime, который измеряет, сколько времени разработчик проводит внутри своей IDE. Но на самом деле это была искусная подделка. На данный момент расширение уже недоступно для скачивания.
По словам исследователя безопасности из Aikido Security Ильяса Макари, опубликовавшего подробный анализ, данное расширение вместе с JavaScript-кодом поставляло нативный бинарный файл, скомпилированный с помощью Zig. И это не первый случай, когда GlassWarm прибегает к использованию нативного скомпилированного кода в расширениях. Но раньше сам бинарник выступал в роли непосредственной полезной нагрузки. Теперь же схема изменилась: бинарный файл служит лишь скрытым посредником, который запускает уже известного дроппера GlassWorm. А тот, в свою очередь, тихо и методично заражает все остальные IDE, которые только обнаружит в системе.
Расширение-подделка. Обнаруженное расширение для Microsoft Visual Studio Code (VS Code) оказалось почти полной копией легитимного WakaTime. Единственное отличие спрятано в функции «activate()». Внутри расширения находятся файлы: на системах Windows — «win.node», на компьютерах с Apple macOS — «mac.node» (универсальный Mach-O-бинарник). Это так называемые нативные аддоны для Node.js — скомпилированные разделяемые библиотеки, написанные на Zig. Они загружаются прямо в среду выполнения Node.js и работают вне песочницы JavaScript, имея полный доступ к операционной системе на низком уровне.
Поиск всех IDE. Как только бинарник загрузился, его главная задача — найти на компьютере жертвы каждую среду разработки, которая поддерживает расширения для VS Code. В список поиска входят: оригинальный Microsoft VS Code и его пре-релизная версия VS Code Insiders, а также форки вроде VSCodium, Positron и даже современные инструменты с искусственным интеллектом — Cursor и Windsurf.
Скачивание второго, вредоносного расширения. Найденный бинарник затем загружает с GitHub-аккаунта, контролируемого злоумышленниками, ещё одно вредоносное VS Code-расширение в формате .VSIX. Оно называется «floktokbok.autoimport» и выдаёт себя за легальное расширение «steoates.autoimport» (у того более 5 миллионов установок в официальном магазине Visual Studio Marketplace).
Тихая установка во все IDE. Загруженный .VSIX-файл сохраняется во временную папку, а затем с помощью встроенного установщика каждой IDE (CLI-интерфейса) молча инсталлируется во все найденные на системе редакторы кода.
Финальная стадия — дроппер второго уровня. Это второе расширение ведёт себя как классический дроппер. Оно избегает выполнения на системах с русской локализацией (чтобы не засветиться перед исследователями из РФ). Для связи с управляющим сервером (C2) оно обращается к блокчейну Solana — это делает каналы управления устойчивыми к блокировкам. Расширение похищает чувствительные данные с компьютера разработчика, устанавливает удалённый троян удалённого доступа (RAT), а тот, на финальном этапе, разворачивает вредоносное расширение для браузера Google Chrome, которое крадёт сохранённые пароли, куки, сессии и другую личную информацию.
Пользователи, установившие у себя расширение «specstudio.code-wakatime-activity-tracker» или «floktokbok.autoimport», должны исходить из того, что их система скомпрометирована. Рекомендуется незамедлительно сменить все пароли, токены доступа, API-ключи и любые другие секреты, хранившиеся на заражённом компьютере.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Неизвестные злоумышленники взломали систему обновлений популярного плагина Smart Slider 3 Pro для WordPress и Joomla. Им удалось распространить через официальный канал заражённую версию, содержащую скрытую вредоносную функцию — бэкдор.
Специалисты в области кибербезопасности обнаружили в официальном реестре npm тридцать шесть подозрительных пакетов. Внешне они выглядят как плагины для системы управления контентом Strapi, но на деле их задача — проникать в базы данных Redis и PostgreSQL, устанавливать невидимые закладки для удалённого управления, воровать учётные данные и разворачивать обратные оболочки (reverse shells). Все эти компоненты работают скрытно и могут долгое время оставаться незамеченными.
Специалисты из команды Microsoft Defender Security Research Team обнаружили тревожную тенденцию: злоумышленники всё чаще используют обычные HTTP-куки (cookie) в качестве канала управления для PHP-веб-шеллов на Linux-серверах. Такой подход позволяет хакерам удалённо выполнять код на взломанных машинах, оставаясь практически незамеченными.