V prosinci 2025 se na tržišti OpenVSX znovu objevila kampaň označovaná jako GlassWorm, která se šíří prostřednictvím rozšíření pro Visual Studio Code. Tentokrát šlo o tři nové balíčky, které byly podle dostupných informací dohromady staženy přes 10 000krát. Případ navazuje na dřívější vlnu, kdy se na OpenVSX a v ekosystému VS Code objevila sada rozšíření se skrytým škodlivým chováním a nejasným reálným dopadem (u některých statistik se připouští možnost umělého navýšení).
GlassWorm je spojován s mechanismem, který využívá transakce v síti Solana k načtení dalšího „payloadu“. Ten se má zaměřovat na citlivá data vývojářů, zejména přihlašovací údaje k účtům GitHub, NPM a OpenVSX, a také na informace související s kryptoměnovými peněženkami. V popisu kampaně se objevuje i údaj, že cílení se týká dat z desítek různých rozšíření, což ukazuje na snahu vytěžit maximum z toho, co je ve vývojářském prostředí běžně dostupné.
Zajímavý je i způsob maskování. Škodlivý kód má být ukrytý pomocí neviditelných Unicode znaků, které se při pohledu v editoru jeví jako prázdné mezery, ale ve skutečnosti mění význam JavaScriptu a umožňují spouštění nežádoucích akcí. Tato obfuskace zjevně nadále funguje i po úpravách ochranných mechanismů na straně OpenVSX.
Mezi konkrétně jmenovaná problematická rozšíření patřila ai-driven-dev.ai-driven-dev, adhamu.history-in-sublime-merge a yasuyuky.transient-emacs, u nichž se uváděly tisíce stažení. Součástí zjištění mělo být také nahlédnutí do útočné infrastruktury, které naznačilo globální zásah napříč regiony a vazby na nástroje používané pro řízení kampaně. V době popisu incidentu měla být uvedená rozšíření na OpenVSX stále dostupná.
Zdroj: BleepingComputer
Zdroj: IT SECURITY NETWORK NEWS
