Хакеры, стоящие за малварью GlassWorm, снова проникли в OpenVSX

В последнее время в сфере кибербезопасности наблюдается тревожная тенденция, связанная с вредоносной программой GlassWorm. Этот вредонос, впервые обнаруженный в октябре 2025 года, продолжает демонстрировать высокую степень адаптивности и эффективности в контексте несанкционированного доступа к платформам с открытым исходным кодом.

GlassWorm представляет собой продвинутый JavaScript-червь, обладающий способностью к самораспространению и компрометации учетных данных из различных репозиториев, включая GitHub, npm и OpenVSX. Примечательно, что данный вредонос также способен извлекать конфиденциальную информацию из криптовалютных кошельков, что значительно расширяет его спектр потенциальных атак. Для маскировки вредоносного кода используются невидимые Unicode-символы, что затрудняет его обнаружение традиционными методами анализа.

Управление ботнетом GlassWorm осуществляется через блокчейн Solana, что обеспечивает высокую степень децентрализации и устойчивости к традиционным методам противодействия. Резервный канал связи поддерживается через сервис Google Calendar, что свидетельствует о многоаспектном подходе к обеспечению бесперебойной работы вредоносной инфраструктуры.

В октябре текущего года злоумышленники осуществили успешную атаку на платформы OpenVSX и Visual Studio Code Marketplace, внедрив 12 инфицированных расширений. Согласно официальным данным, эти расширения были загружены около 35 800 раз, однако специалисты предполагают, что фактические масштабы заражения значительно превышают эти цифры.

После выявления вредоносной кампании разработчики OpenVSX предприняли меры по отзыву токенов доступа у скомпрометированных аккаунтов и усилению мер безопасности. Тем не менее, исследователи из Koi Security недавно обнаружили три новых вредоносных модуля, внедренных в OpenVSX, что свидетельствует о недостаточной эффективности существующих защитных механизмов.

Новейшие модули, идентифицированные как ai-driven-dev.ai-driven-dev (3400 загрузок), history-in-sublime-merge (4000 загрузок) и transient-emacs (2400 загрузок), используют идентичный метод обфускации с использованием невидимых Unicode-символов. Это указывает на необходимость пересмотра текущих стратегий защиты и разработки более продвинутых методов обнаружения и нейтрализации подобных угроз.

Недавние исследования, проведенные аналитиками из Aikido, свидетельствуют о начале атак GlassWorm на платформу GitHub, что расширяет географию потенциальных жертв и усиливает угрозу кибербезопасности.

Благодаря доступу к серверу злоумышленников, исследователи из Koi Security смогли выявить глобальный масштаб операции. Пользователи из США, Южной Америки, Европы и Азии, а также государственные структуры на Ближнем Востоке оказались в зоне риска.

Анализ данных, полученных в ходе исследования, показал, что операторы вредоносного ПО являются носителями русского языка и используют опенсорсный фреймворк RedExt для управления ботнетом. Собранная информация была передана правоохранительным органам, включая идентификаторы операторов на криптовалютных биржах и в мессенджерах, что способствует дальнейшему расследованию и нейтрализации угрозы.

В настоящее время разрабатывается план информирования пострадавших организаций и проведения дополнительных исследований для повышения уровня кибербезопасности в условиях растущей угрозы со стороны вредоносных программ, подобных GlassWorm, пишет источник.

Читать на сайте