Na tržišti OpenVSX se znovu objevila kampaň GlassWorm, která se zaměřuje na uživatele Visual Studio Code prostřednictvím škodlivých rozšíření. Tentokrát jde o tři nové položky, které už dohromady nasbíraly přes 10 000 stažení. GlassWorm byl širší pozornosti vystaven už v listopadu 2025, kdy se podobná metoda objevila u větší série rozšíření šířených přes OpenVSX i oficiální katalog VS Code.
Základní princip zůstává stejný: rozšíření po instalaci stáhne další část škodlivého kódu a následně se snaží získat citlivá data – typicky přístupové údaje nebo tokeny k účtům GitHub, NPM a OpenVSX. Vedle toho se v popisu kampaně objevuje i zájem o data související s kryptoměnovými peněženkami. Součástí řetězce mají být i transakce v síti Solana, které slouží jako jeden z mechanismů pro načtení „payloadu“ a koordinaci dalších kroků.
Výrazným prvkem této kampaně je obfuskace pomocí neviditelných Unicode znaků. Ty se v souborech tváří jako prázdná místa, ale při interpretaci mohou vytvořit funkční JavaScript a spustit nežádoucí chování. Uvedené tři položky měly používat stejný trik, což naznačuje, že jde o pokračování stejné linie a že podobná obfuskace stále dokáže projít kontrolami, i když byly po předchozích incidentech posíleny.
V dostupných informacích se zmiňuje i infrastruktura pro vzdálené řízení (C2), tentokrát s upravenými koncovými body. Z uniklých dat měl vyplývat globální dosah napadení napříč více regiony a také to, že jde jen o část celkového obrazu. Praktický dopad tak může být větší, než naznačují samotná čísla stažení. Jako rozumný postup se v takových případech uvádí revize nově instalovaných rozšíření, kontrola vydavatele a rychlá rotace tokenů a přístupových klíčů tam, kde by mohlo dojít k jejich kompromitaci.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
