Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Security Affairs · 12.4., 08:07 · sikkerhet

GlassWorm bruker Zig-dropper til å infisere VS Code, Cursor og VSCodium

SYNOPSIS_GENERERT

GlassWorm-kampanjen sprer seg nå via falske OpenVSX-utvidelser med en Zig-kompilert dropper som infiserer alle IDE-er på systemet ditt.

«Binæren brukes som en skjult indireksjon for den kjente GlassWorm-dropperen, som nå i hemmelighet infiserer alle andre IDE-er den finner på systemet ditt» — Aikido Security

Sikkerhetsforskere hos Aikido har avdekket en ny variant av GlassWorm-kampanjen, aktiv siden 2025. Denne gangen bruker angriperne en falsk OpenVSX-utvidelse som utgir seg for å være WakaTime. Utvidelsen inneholder en Zig-kompilert binær som kjører utenfor JavaScripts sandbox med full systemtilgang.

Når binæren aktiveres, skanner den maskinen etter installerte IDE-er og installerer en ondsinnet utvidelse i hver av dem via deres egne CLI-verktøy. Deretter sletter den sporene. Andretrinnets utvidelse er den kjente GlassWorm-dropperen, som stjeler data og installerer en persistent RAT.

Malwaren unngår russiske systemer og kommuniserer med en Solana-basert kommando- og kontrollserver. Den installerer også en ondsinnet Chrome-utvidelse for ytterligere datatyveri.

>_ NØKKELTALL
specstudio/code-wakatime-activity-tracker
ondsinnet utvidelsesnavn
floktokbok.autoimport
andretrinnets dropper
Solana-basert C2
kommando- og kontrollkanal

Hva bør du gjøre?

  1. Søk etter specstudio/code-wakatime-activity-tracker og floktokbok.autoimport i alle IDE-utvidelser
  2. Hvis du finner dem: behandle maskinen som kompromittert og roter alle hemmeligheter
  3. Bruk kun verifiserte utvidelser fra offisielle markedsplasser
Åpne eksternt kildedokument
sikkerhetopen-source

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN