GlassWormキャンペーンは開発者コミュニティ内で再浮上していますが、攻撃者はより隠密な運用プロフィールを採用しています。OpenVSX経由で露骨に悪意のある拡張機能を配布するのではなく、人気のあるユーティリティの無害な複製を最初に公開してから、後の更新で有害な機能を導入しています。
Socketはこの新しい波のGlassWormアクティビティに関連する73の疑わしい拡張機能を特定しました。これらのうち6つはすでにアクティブな状態に移行し、悪意のあるコードの展開を開始しています。残りのものは、専門家の評価によると、現在休止状態であるか、同じ組織的な策略の構成要素として分類されるのに十分な構造的異常を示しています。
これらの拡張機能は、正当なプロジェクトを綿密に模倣することで欺瞞を実現します。よく知られたアイコノグラフィ、命名法、説明を横領することによって、不注意な開発者を容易に欺きます。相違点は通常、パブリッシャー名と一意の拡張機能識別子内に隠されています。
この洗練された戦術的アプローチは、以前のGlassWorm侵入とは異なります。以前は、悪意のあるペイロードが拡張機能内に直接埋め込まれ、時々難読化のために目に見えないUnicode文字を利用していました。現在、拡張機能は主にドロッパーとして機能しています。GitHubから補足的なVSIXパッケージを取得し、プラットフォーム固有の.nodeモジュールを実行するか、実行時にのみ悪意のある意図を明らかにする大いに難読化されたJavaScriptを使用する機能を持っています。
Socketは最近のペイロードの詳細な技術仕様の公開を控えていますが、以前のGlassWormの反復は、暗号通貨ウォレットデータ、認証情報、アクセストークン、SSHキー、および開発者ワークスペースの独自コンテンツを収集するために設計されました。このキャンペーンは歴史的にGitHub、npm、Visual Studio CodeマーケットプレイスおよびOpenVSXに浸透し、詐欺的な暗号通貨クライアントソフトウェア経由でmacOSユーザーをターゲットにしています。
Socketは影響を受けた73の拡張機能の包括的なリストを配布しました。これらのパッケージを統合した開発者は、トークン、暗号キー、管理者パスワードを含む、環境をサニタイズし、すべての機密シークレットをローテーションすることを強く勧められています。
