4月にOpen VSXマーケットプレイスに公開された70個以上の拡張機能は、GlassWormマルウェアに関連する可能性の高いスリーパー拡張機能である、とSocketは報告しています。
GlassWormは2025年10月にOpen VSXレジストリに登場し、12個の拡張機能に存在していました。これらは数千回ダウンロードされた可能性があります。Unicode変動セレクタを使用してコードを視覚的に隠し、Solanaブロックチェーンをコマンド&コントロール(C&C)インフラに利用していました。
GitHub、Git、およびNPM認証情報、機密情報、および暗号資産を盗むために設計されたGlassWormは、11月に他のオープンソースソフトウェアエコシステムに広がり、1月に再登場し、3月に再び登場しました。その際には150以上のリポジトリが侵害されました。
現在、SocketはOpen VSXマーケットプレイスの人気拡張機能のクローンである73個の疑わしい拡張機能を特定したと述べています。これらは、8文字の文字列で名前付けられた1つまたは2つのパブリックリポジトリを持つ新しく作成されたGitHubアカウントによって公開されました。
これらの拡張機能はすべて、将来の更新を通じてユーザーのマシンにマルウェアをデプロイするために設計されたスリーパーである可能性が高く、そのうち少なくとも6つが起動されています。
「新しい更新が継続的に出現するにつれてこの数は変わる可能性がありますが、パターンは以前のGlassWormの波と一致しています。クローンまたは偽装拡張機能は最初に明白なペイロードなしで公開され、その後、通常の拡張機能更新パスを通じてマルウェアを配信するために更新されます」とSocketは述べています。
拡張機能は明確な詐欺パターンを特徴としており、アイコン、命名、および説明を含むクローン拡張機能の正当なリスティングをミラーリングしていますが、異なるパブリッシャーおよび一意の識別子の下にあります。
「これは最新のGlassWormクラスタの背後にある主要なソーシャルエンジニアリングパターンです。クローンされたリスティングは、マルウェアが導入される前にインストールを引き付けるのに十分なビジュアルトラストを作成します」とSocketは述べています。
これらの拡張機能によって実装されるマルウェア配信方法は、以前に観察されたメカニズムの組み合わせです。一部は、以前のGlassWorm攻撃のコンポーネントを含む、バンドルされたネイティブバイナリに依存しており、他は遠隔の場所からペイロードを取得します。
「拡張機能のソースコード単体は、最終的に実行される動作をもはや反映していません。ツールが通常スキャンする範囲外に重要なロジックをシフトさせ、それを複数の配信メカニズム全体に分散させることで、脅威アクターは検出を回避する可能性を高めます」とSocketは述べています。
翻訳元: https://www.securityweek.com/dozens-of-open-vsx-extension-clones-linked-to-glassworm-malware/
