Cybersecurity-Forscher haben eine neue Drehung der Nüsse in der Kampagne namens GlassWorm entdeckt: eine böswillige Erweiterung für Entwicklungsumgebungen, die ein "Dropper" in Zig mit der scheinbaren Mission der leisen Infizierung aller IDEs in das Entwicklerteam integriert hat.
Die Probe erschien auf Open VSX unter dem Namen spstudio.code-wakatime-aktivität-tracker, versuchen, WakaTime zu verkörpern, das Tool, das die Zeit, die Sie verbringen die Programmierung registriert. Die Erweiterung ist nicht mehr zum Download verfügbar, aber die Feststellung machte deutlich, eine besorgniserregende Taktik: die Aufnahme von nativen Binaries zusammen mit der Erweiterung JavaScript-Code, die als Node native Ergänzungen geladen werden und aus der üblichen Eindämmung der JavaScript-Sandbox kommen, so erhalten Zugriff auf Systemebene Operationen.
In der Praxis wirkt die der Erweiterung beigefügte Binärdatei als sehr diskretes Stück "indirektional". Die Dateien, die win.node in Windows oder mac.node in macOS genannt werden, sind geteilte Buchhandlungen, die auf der Node.js Laufzeit geladen werden und aktiv suchen andere IDEs, die VS-Code-kompatible Erweiterungen akzeptieren können. Diese Suche ist nicht auf Visual Studio Code und seine Insider-Version beschränkt: Es umfasst auch Forks und Derivate-Editoren - wie VSCodium - und sogar einige IA-verstärkte Programmierwerkzeuge, die Erweiterungskompatibilität integrieren.
Sobald die binäre Ziele erkennt, laden Sie von einem Konto, das vom Angreifer gesteuert wird, ein schädliches herunter. VSIX Paket. Das Paket supplantiert eine sehr beliebte legitime Erweiterung namens Autoimport (das Original wird veröffentlicht als steoates.autoimport im Visual Studio Marketplace). Der Installer schreibt die . VSIX auf einer temporären Route und installiert es ruhig auf jedem Editor mit den Befehlszeilen-Tools, die jeder IDE bietet, Erweiterungen von VSIX-Dateien zu installieren; ein Fluss, den jeder Entwickler erkennen kann, wenn Sie jemals installiert Erweiterungen manuell (mehr Informationen über die Installation von VSIX sind in der offiziellen VS-Code-Dokumentation verfügbar: code.visualstudio.com)
Der Infektionszyklus endet nicht mit der einfachen Installation: die zweite Erweiterung wirkt als leistungsfähiger Tropf. Laut der Analyse, es vermeidet das Laufen in Systemen in Russland, befragt Solana Blockchain, um den Befehls- und Kontrollserver (C2) Adresse - eine Methode, die die öffentliche Natur nutzt und ist resistent gegen die Zensur der Blockchains -, sammelt sensible Daten aus der Entwicklungsumgebung und stellt einen Remote Access Trojaner (RAT) bereit. That RAT setzt die angreifende Kette durch die Installation einer Erweiterung für Google Chrome entwickelt, um Informationen im Browser gespeichert zu stehlen.
Diese Entwicklung des digitalen Verbrechens zeigt mehrere kritische Punkte für jeden, der Software entwickelt. Zuerst sind die Erweiterungen nicht mehr nur Skripte: sie können native Komponenten enthalten, die außerhalb der Sandbox arbeiten und daher den Umfang, was ein schädliches Paket in einem System tun kann deutlich erhöhen. Zweitens, die Technik der Verteilung eines Installers, der still in mehrere IDEs repliziert, macht Entwicklungsumgebungen zu einem idealen Nebenbewegungsvektor für Angreifer, die Anmeldeinformationen, Token oder Geheimnisse suchen, mit denen in andere Ressourcen stoßen.
Wenn Sie mit Werkzeugen wie WakaTime arbeiten oder Erweiterungen von Drittanbieter-Repositories installieren, sollten Vorkehrungen getroffen werden. Der Vorfall zeigt, dass Angreifer legitime Plattformen wie Open VSX oder öffentliche Repositories wie GitHub verwenden, um schädliche Lasten auf scheinbar inokulierte Weise zu hosten und zu verbreiten; daher ist es unerlässlich, immer den Ursprung einer Erweiterung zu überprüfen, seinen Code überprüfen, wenn möglich und offizielle und zuverlässige Quellen bevorzugen. Um zu kontextualisieren, wie diese Vorfälle in der Gemeinschaft gemeldet und analysiert werden, haben spezialisierte Medien- und Antwortteams ähnliche Fälle dokumentiert, in denen Erweiterungen oder Pakete legitime Dienste missbrauchen, um ihre Infektion zu bestehen oder zu erweitern (siehe Berichterstattung in Referenzstellen wie Bleping Computer oder The Hacker News)
Wenn Sie denken, dass Ihre Umgebung von einer dieser Erweiterungen betroffen sein könnte - zum Beispiel, wenn Sie installiert spstudio.code-wakatime-aktivität-tracker oder die Erweiterung, die zu Autoimport supplant -, die Weisen ist, sich zu engagieren und schnell handeln. Die Antwort sollte die Deinstallation von verdächtigen Erweiterungen, die Suche und Entfernung von verwandten nativen Binaries, die Überprüfung von Erweiterungen installiert in allen Editoren und die Revision von neu installierten Browser-Erweiterungen enthalten. Es ist auch wichtig, alle Geheimnisse zu drehen, die von den Zugriffstoken, API-Schlüsseln, Repository-Anmeldeinformationen usw. gespeichert oder zugänglich sind und diejenigen, die nicht als kompromisslos garantiert werden können, zu widerrufen.
Neben sofortiger Aktion gibt es mittelfristige Lektionen für Teams und Organisationen: die Exposition von Geheimnissen im Code minimieren, geheime und politische Manager verwenden, die unnötige Privilegien reduzieren, regelmäßig die zulässigen Erweiterungen in Unternehmensumgebungen prüfen und spezialisierte Erkennung verwenden, um native binäre Ausführungs- oder Massenerweiterungseinrichtungen zu überwachen. Die öffentliche Natur bestimmter Infrastrukturen, wie der Block von Solana, wird von Angreifern verwendet, um C2-Kommunikation zu orchestrieren; Verständnis dieser Taktiken hilft, effektivere Reaktionen zu formulieren (offizielle Dokumentation über Solana in docs.solana.com)
Das Ökosystem der Entwicklung ist wertvoll und daher für Cyberkriminelle attraktiv. Die Werkzeuge, die die tägliche Arbeit am meisten erleichtern, können auch Risikovektoren werden, wenn gute technische Praktiken nicht mit konstanter Überwachung kombiniert werden. In diesem Zusammenhang bleibt die Aufrechterhaltung einer kritischen Haltung gegenüber Drittanbieter-Erweiterungen und -Komponenten und die Umsetzung grundlegender Sicherheitskontrollen die beste Verteidigung gegen Kampagnen, die mit legitimen Erscheinungen infiltrieren wollen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...