GlassWorm s-a ascuns un an în extensii VS Code înainte să fie desființat

Mai bine de un an, unii dintre programatorii care construiesc aplicațiile de pe telefonul tău au lucrat, fără să știe, pentru altcineva. Un program rău intenționat numit GlassWorm trăia în extensii pentru Visual Studio Code, cel mai folosit editor de cod din lume, și în pachetele open source pe care acei programatori le aduc zilnic în proiectele lor. Le aduna parolele, le deturna conturile și le folosea ca să se instaleze în și mai mult software. CrowdStrike, Google și Shadowserver Foundation tocmai i-au tăiat firele.

Asta contează chiar și pentru cine n-a deschis niciodată un editor de cod, fiindcă lanțul de aprovizionare al software-ului este exact asta, un lanț. Aplicația de mesagerie de pe telefon, cea a băncii, jocul de pe consolă se sprijină toate pe mii de cărămizi mici open source scrise și întreținute de alți oameni. Otrăvește una dintre acele cărămizi și otrava poate curge la vale până în produse finite folosite de milioane. GlassWorm a fost construit ca să prindă acel curent fără să fie văzut.

Ce îl deosebea era felul în care se ascundea. Operatorii lui scriau instrucțiunile dăunătoare cu caractere Unicode invizibile, cod care apare ca spațiu gol în editor, așa încât un programator care verifica fișierul nu vedea nimic suspect. Cercetătorii de la Koi Security, care au identificat campania primii, l-au numit primul vierme capabil să se răspândească singur prin extensii de editoare de cod. Fiecare mașină infectată devenea punctul de pornire pentru următoarea.

Majoritatea atacurilor asupra lanțului de aprovizionare sunt lovituri rapide: un pachet otrăvit este găsit, retras și corectat în câteva zile. GlassWorm a fost făcut să dureze. Fiindcă fura singur credențialele de care avea nevoie ca să se răspândească, putea să se reinstaleze mult după ce orice extensie era scoasă, și așa o singură operațiune a ajuns la sute de proiecte și zeci de mii de descărcări în mai bine de un an.

Căile de infectare erau instalația obișnuită a muncii moderne cu software. Operatorii încărcau extensii capcană pe Open VSX, piața care alimentează VS Code și verii lui Cursor, Windsurf, Positron și VSCodium, deghizate în unelte nevinovate precum cronometre sau formatatoare de cod. Strecurau cod modificat în pachete npm și din indexul Python prin scripturi de instalare care pornesc singure și, cu credențiale luate de la victime anterioare, forțau modificări dăunătoare în ramurile principale a peste 300 de depozite de pe GitHub. Odată intrat într-o mașină, GlassWorm căuta chei: token-uri npm, conturi GitHub, token-urile de publicare care permit încărcarea extensiilor și portofele de criptomonede. Transforma calculatoarele infectate în servere de tranzit pentru alt trafic infracțional și, în unele cazuri, instala un software de acces de la distanță ascuns care le dădea operatorilor o vedere în direct a ecranului.

Să-l dobori însemna să ataci felul în care operatorii rămâneau în contact cu mașinile lor, iar aici GlassWorm fusese gândit ca să supraviețuiască. În loc să se bazeze pe un singur server de comandă care putea fi deconectat, folosea patru canale deodată. Unul codifica instrucțiunile în tranzacții de pe blockchain-ul Solana, un registru public conceput să fie permanent și de neatins. Altul ascundea configurația în rețeaua de partajare de fișiere BitTorrent. Al treilea strecura adrese web codate în titlurile evenimentelor din Google Calendar. Al patrulea era un simplu server închiriat. Echipa Counter Adversary Operations de la CrowdStrike, împreună cu Google și Shadowserver, a tăiat tot ansamblul într-o singură operațiune coordonată.

A tăia firele nu e același lucru cu a curăța rana. Tăierea canalelor îi împiedică pe operatori să trimită ordine noi și încărcături proaspete, dar nu scoate GlassWorm de pe mașinile pe care le controlează deja, iar fiecare parolă furată deja rămâne furată. Nici nu e prima întrerupere a campaniei. După ce Koi Security a dat-o în vileag, GlassWorm a revenit, o dată cu două duzini de extensii dăunătoare noi și, luni mai târziu, cu alte zeci. Canalul de pe blockchain pe care cercetătorii îl descriau ca imposibil de desființat tocmai a fost desființat, dar cei din spate au arătat în repetate rânduri că reconstruiesc.

Anchetatorii cred că operatorii sunt probabil în Rusia. Programul verifică limba și fusul orar al calculatorului la pornire și se închide în tăcere dacă ajunge pe un sistem din Rusia sau dintr-o țară vecină din fostul spațiu sovietic, o semnătură cunoscută a grupurilor infracționale care lucrează din regiune și evită victimele locale. CrowdStrike a rezumat schimbarea pe șleau: atacatorii nu mai vizează doar produsele, vizează programatorii care le construiesc. Shadowserver Foundation a început să anunțe organizațiile afectate ca să-și curețe sistemele și să schimbe orice credențial care ar fi putut scăpa, iar pentru toți cei mai jos în lanț munca adevărată începe acum, pe măsură ce echipele verifică ce extensii și pachete au instalat de la începutul lui 2025. Infrastructura e stinsă. Curățarea abia a început.