کمپین بدافزار GlassWorm که ماه گذشته بازارهای OpenVSX و Visual Studio Code (VS Code) را هدف قرار داده بود، با مجموعهای جدید از سه افزونه VSCode بازگشته است که تاکنون بیش از ۱۰.۰۰۰ بار دانلود شدهاند.
GlassWorm یک کمپین و بدافزار است که از تراکنشهای Solana برای دریافت یک پیلود که اعتبارنامههای حساب GitHub، NPM و OpenVSX و همچنین دادههای کیف پول رمز ارز را از ۴۹ افزونه هدف قرار میدهد، استفاده میکند. این بدافزار از کاراکترهای نامرئی یونیکد استفاده میکند که به صورت خالی رندر میشوند، اما به عنوان جاوا اسکریپت اجرا میشوند تا اقدامات مخرب را تسهیل کنند. این بدافزار ابتدا از طریق ۱۲ افزونه در بازارهای VS Code و OpenVSX مایکروسافت ظاهر شد که ۳۵.۸۰۰ بار دانلود شدند.
با این حال، اعتقاد بر این است که تعداد دانلودها توسط عامل تهدید افزایش یافته و در نتیجه تأثیر کامل این کمپین ناشناخته مانده است. به گفته Koi Security، که این کمپین را ردیابی میکرد، مهاجم اکنون با استفاده از همان زیرساخت اما با نقاط پایانی فرمان و کنترل (C2) بهروز شده و تراکنشهای Solana، به OpenVSX بازگشته است. هر سه افزونه از همان ترفند مبهمسازی کاراکترهای نامرئی یونیکد مانند فایلهای اصلی استفاده میکنند. بدیهی است که این ترفند در دور زدن مکانیزمهای دفاعی تازه معرفیشده OpenVSX همچنان مؤثر است. افزونههای OpenVSX مذکور که حامل بدافزار GlassWorm هستند عبارتند از:
- ai-driven-dev.ai-driven-dev
- adhamu.history-in-sublime-merge
- yasuyuky.transient-emacs
دادههای بازیابی شده نشاندهنده دسترسی جهانی است، به طوری که GlassWorm در سیستمهایی در سراسر ایالات متحده، آمریکای جنوبی، اروپا، آسیا و یک نهاد دولتی در خاورمیانه یافت شده است. اپراتورهای بدافزار، روسی زبان بوده و از چارچوب افزونه مرورگر C2 متنباز RedExt استفاده میکنند. گفتنی است که تا زمان انتشار این خبر، سه افزونه حاوی پیلود داده GlassWorm، هنوز برای دانلود در OpenVSX در دسترس هستند.
https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-on-openvsx-with-3-new-vscode-extensions/
https://thehackernews.com/2025/11/glassworm-malware-discovered-in-three.html
