Il malware GlassWorm è nuovamente sotto i riflettori del mondo della sicurezza informatica dopo che i ricercatori hanno individuato tre nuove estensioni malevole per Visual Studio Code (VS Code) legate a questa campagna. Queste estensioni, che risultano ancora scaricabili, sono ai-driven-dev.ai-driven-dev, adhamu.history-in-sublime-merge e yasuyuky.transient-emacs, collezionando migliaia di download complessivi sulla piattaforma Open VSX Registry.

Descrizione e funzionamento di GlassWorm

GlassWorm era già stato descritto di recente per la sua capacità di sfruttare estensioni di VS Code per sottrarre credenziali di Open VSX, GitHub e di portafogli di criptovalute, oltre a installare strumenti per l’accesso remoto. La peculiarità di questo malware risiede nell'uso di caratteri Unicode invisibili che nascondono il codice dannoso agli occhi degli sviluppatori e degli strumenti di controllo. Questo stratagemma rende difficile l’individuazione del codice malevolo e permette al malware di auto-replicarsi, propagandosi in modo simile a un worm tra le varie estensioni e macchine infette.

Risposta della comunità di sicurezza

Le azioni intraprese dalla comunità di sicurezza sono state rapide: la piattaforma Open VSX aveva precedentemente rimosso le estensioni infette e revocato i token compromessi, ma gli attori malevoli sono riusciti a reinserire nuove versioni sfruttando ancora una volta la tecnica dell’offuscamento tramite Unicode. Un altro aspetto allarmante della campagna GlassWorm è la resilienza della sua infrastruttura di comando e controllo. Gli aggressori pubblicano transazioni sulla blockchain Solana per aggiornare l’indirizzo del server C2. Così, anche se un server viene abbattuto, è sufficiente una nuova transazione per indicare ai dispositivi infetti dove scaricare il payload successivo, rendendo il malware estremamente difficile da eliminare.

Impatto e tecniche degli attaccanti

L’indagine degli esperti ha portato alla scoperta di un elenco parziale delle vittime, comprendente organizzazioni di vari continenti, tra cui un importante ente governativo mediorientale. Inoltre, sono emersi dettagli sulle modalità operative degli attaccanti che suggeriscono una provenienza russa e l’adozione di framework open source come RedExt per la gestione delle attività malevole.

Rischi per la supply chain e raccomandazioni

GlassWorm rappresenta una minaccia crescente anche per la supply chain del software, avendo iniziato a prendere di mira anche repository GitHub, dove le credenziali sottratte vengono usate per pubblicare commit dannosi. Questa evoluzione sottolinea l’urgenza di monitorare costantemente le estensioni VS Code e di aggiornare le strategie di difesa contro campagne malware sofisticate, che sfruttano tecniche avanzate di offuscamento e infrastrutture decentralizzate come la blockchain.