Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Estensioni VS Code Clonate: 73 trappole su Open VSX che rubano credenziali con GlassWorm v2
Ricercatori di cybersecurity hanno individuato una campagna di malware che prende di mira gli sviluppatori attraverso estensioni false di Visual Studio Code pubblicate su Open VSX. Il caso riguarda 73 estensioni clonate, create per sembrare identiche a quelle legittime e aumentare le installazioni sfruttando la fiducia degli utenti.
In diversi casi vengono copiati nome, icona e descrizione, con tecniche di typosquatting che rendono difficile notare differenze minime tra pacchetti originali e copie.
Secondo le analisi, solo una parte delle estensioni risulta subito dannosa, mentre molte altre funzionano come sleeper package. Si presentano come innocue per un periodo, così da costruire credibilità e ottenere download organici, per poi attivare il comportamento malevolo tramite un aggiornamento successivo. Questa strategia di visual trust e ingegneria sociale è particolarmente efficace nei marketplace di estensioni, dove la velocità di installazione e la somiglianza grafica possono portare a errori.
Collegamento a GlassWorm v2 e modalità di infezione
La campagna è collegata a GlassWorm v2, un’evoluzione di un’attività più ampia che, dal 21 dicembre 2025, avrebbe portato all’identificazione di oltre 320 artefatti. Il meccanismo di infezione descritto sfrutta le estensioni come loader: il componente installato inizialmente appare legittimo, ma recupera un payload aggiuntivo ospitato su GitHub sotto forma di estensione VSIX.
Una volta scaricato, il payload viene installato in modo trasversale su più ambienti di sviluppo presenti sulla macchina, non solo VS Code ma anche alternative come Cursor, Windsurf e VSCodium, usando il comando di installazione delle estensioni.
Obiettivi del malware e tecniche di offuscamento
L’obiettivo finale è l’esecuzione di malware orientato al furto di informazioni. Le funzionalità includono la sottrazione di dati sensibili e credenziali, l’installazione di un remote access trojan e la distribuzione silenziosa di un’estensione del browser basata su Chromium in grado di esfiltrare password, segnalibri e altri dati.
Parte della logica di consegna sarebbe implementata in JavaScript offuscato, riducendo la visibilità rispetto a varianti basate su binari e rendendo più complessa la rilevazione.
Misure di mitigazione per la supply chain software
Per ridurre il rischio nella supply chain software, è fondamentale verificare publisher, cronologia degli aggiornamenti, coerenza dei repository e permessi richiesti dalle estensioni, oltre a preferire fonti ufficiali e controlli di sicurezza dedicati per gli ambienti di sviluppo.