Исследователи в области кибербезопасности обнаружили новую эволюцию кампании GlassWorm. В атаке используется дроппер, написанный на Zig, который скрытно заражает все среды разработки (IDE) на машине разработчика.
Вредоносная техника была найдена в расширении Open VSX под названием specstudio.code-wakatime-activity-tracker, маскирующемся под популярный инструмент WakaTime для отслеживания времени работы в IDE. На момент обнаружения расширение уже было удалено.
Расширение включает нативный бинарный файл, скомпилированный на Zig, который поставляется вместе с JavaScript-кодом. Этот бинарник не является основным вредоносным payload, а служит промежуточным звеном, скрытно запускающим известный дроппер GlassWorm.
В отличие от обычного JavaScript-кода расширений, такие нативные модули загружаются напрямую в среду выполнения Node.js и работают вне песочницы, имея полный доступ к операционной системе.
После активации расширение устанавливает файл win.node на Windows или mac.node на macOS. Эти библиотеки запускаются при старте и выполняют основную вредоносную логику.
Распространение на все IDE
После запуска бинарник сканирует систему в поисках всех IDE, поддерживающих расширения формата Visual Studio Code.
Атака затрагивает не только Visual Studio Code, но и его вариации и производные, включая VS Code Insiders, VSCodium, Positron, а также инструменты с поддержкой ИИ, такие как Cursor и Windsurf.
Затем вредоносный код загружает дополнительное расширение .VSIX из GitHub-репозитория, контролируемого злоумышленниками.
Это расширение маскируется под популярный пакет steoates.autoimport, имеющий миллионы установок в официальном маркетплейсе Visual Studio.
Скачанный файл сохраняется во временную директорию и тихо устанавливается во все найденные IDE через их CLI-инсталляторы.
Второй этап атаки
Установленное расширение выступает вторым этапом заражения и выполняет функции дроппера.
Оно не активируется на системах с русской локалью и использует блокчейн Solana для получения адреса управляющего сервера (C2).
После этого происходит сбор и отправка чувствительных данных, а также установка трояна удаленного доступа (RAT).
Финальный этап включает установку вредоносного расширения для Google Chrome, предназначенного для кражи информации.
Рекомендации
Пользователям, установившим specstudio.code-wakatime-activity-tracker или floktokbok.autoimport, рекомендуется считать систему скомпрометированной и немедленно сменить все учетные данные и секреты.
Источник: HN