De Glassworm-campagne blijkt hardnekkiger dan verwacht. Nadat in oktober schadelijke extensies opdoken in zowel de OpenVSX-omgeving als de Microsoft Visual Studio Marketplace, is nu een derde golf vastgesteld.
Onderzoek van Secure Annex laat volgens BleepingComputer zien dat aanvallers opnieuw malafide pakketten publiceren onder namen die sterk lijken op bekende en veelgebruikte ontwikkelaarstools. Na toelating in de marktplaats voeren de uitgevers een update door waarin de malware verscholen zit. Door de downloadcijfers kunstmatig te verhogen komen deze pakketten bovendien hoger in zoekresultaten te staan, waardoor ze betrouwbaarder ogen.
Zoals Techzine meldde bij de ontdekking van de eerste aanval, gebruikte Glassworm onzichtbare Unicode-tekens om schadelijke code volledig aan het zicht te onttrekken. Voor reviewers lijkt een extensie daardoor legitiem, terwijl er feitelijk modules worden toegevoegd die onder meer GitHub-, npm- en OpenVSX-accounts kunnen compromitteren. Ook wordt het systeem van het slachtoffer ingezet als proxy en wordt een remote access-component geïnstalleerd die aanvallers ongezien toegang verschaft.
OpenVSX gaf begin november aan dat het incident was ingedamd. Toegangstokens waren geroteerd, hun levensduur was beperkt en nieuwe extensies werden voortaan automatisch gescand. Daarnaast werd samengewerkt met andere marktplaatsen om risico’s beter te beheersen. De nieuwe besmettingsgolf toont echter aan dat aanvallers met nieuwe accounts en pakketten opnieuw binnen weten te dringen.
Glassworm is nauwelijks te blokkeren
Glassworm beschikt bovendien over een complexe infrastructuur. Analyses tonen dat de malware gebruikmaakt van de Solana-blockchain om instructies op te halen, wat een gedistribueerd commandomechanisme oplevert dat nauwelijks te blokkeren is. Als uitwijkmechanisme wordt informatie opgehaald uit een verborgen Google Calendar-item, terwijl onderdelen van de aanval via peer-to-peerverbindingen zoals WebRTC en BitTorrent worden verspreid. In de meest recente varianten worden bovendien Rust-gebaseerde implantaten aangetroffen.
Bij eerdere incidenten raakten al duizenden installaties besmet, mede doordat VS Code-extensies automatisch worden bijgewerkt. Tegelijkertijd verspreidt Glassworm zich ook via npm en GitHub, waar gestolen tokens worden gebruikt om pakketten te publiceren en repositories te manipuleren. Hierdoor ontstaat een breder supply-chaineffect dat zich niet beperkt tot één platform.
Microsoft laat weten dat het de detectiecapaciteit blijft aanscherpen en benadrukt dat gebruikers verdachte extensies moeten melden via de rapportagefunctie op de marketplace. Beveiligingsspecialisten waarschuwen dat organisaties dit soort voorvallen direct als potentieel supply-chainincident moeten behandelen, zeker omdat ontwikkelomgevingen doorgaans diepgaande systeem- en netwerktoegang hebben.