Sabotaggio silenzioso: false estensioni di VS Code diffondono il malware GlassWorm v2 tra gli sviluppatori di tutto il mondo

È iniziato come un giorno qualunque per migliaia di sviluppatori software: scaricare una promettente estensione per Visual Studio Code, aumentare la produttività, andare avanti. Ma dietro le icone familiari e le descrizioni curate si nascondeva qualcosa di molto più sinistro: una campagna malware furtiva che ora sta scuotendo le fondamenta dell’ecosistema degli sviluppatori.

I ricercatori di sicurezza di Socket hanno scoperto un’operazione sofisticata che prende di mira gli utenti di Microsoft Visual Studio Code tramite il marketplace di estensioni Open VSX. Al centro dello schema: 73 estensioni che sono cloni quasi perfetti di strumenti legittimi, fino all’icona e alla descrizione. Ma il loro scopo è tutt’altro che benigno. Sebbene solo sei siano state confermate come attivamente malevole, le altre sono “dormienti” - in attesa di un aggiornamento che attivi i loro payload.

Gli attaccanti impiegano un’astuta tattica di ingegneria sociale nota come “fiducia visiva”: imitando l’aspetto e i nomi di estensioni affidabili (a volte ricorrendo a un sottile typosquatting), inducono gli sviluppatori a installare i falsi. Una volta installate, queste estensioni agiscono da loader, scaricando silenziosamente payload VSIX secondari da GitHub. L’infezione si diffonde non solo su VS Code, ma anche su altri popolari editor di codice come Cursor, Windsurf e VSCodium, utilizzando comandi di installazione automatizzati.

Ciò che è particolarmente allarmante è la sofisticazione tecnica della catena di infezione. Le estensioni usano JavaScript offuscato per eludere il rilevamento, e il malware stesso è progettato per evitare i sistemi russi - suggerendo un focus calcolato e internazionale. Una volta attivo, GlassWorm v2 ruba dati sensibili, installa trojan di accesso remoto e persino distribuisce un’estensione fraudolenta per browser basato su Chromium per sottrarre credenziali e segnalibri. Sfruttando “dipendenze transitive” e pacchetti dormienti, gli attaccanti massimizzano la portata riducendo al minimo il rischio di una scoperta precoce.

Questa campagna segnala una preoccupante evoluzione negli attacchi alla supply chain: gli sviluppatori - a lungo considerati custodi della sicurezza - sono ora essi stessi bersagli primari. Gli attori della minaccia si adattano rapidamente, affinando i metodi per confondersi e attendere il momento perfetto per colpire.

Per sviluppatori e organizzazioni, la lezione è netta: la fiducia, una volta infranta, è difficile da ricostruire. Man mano che i confini tra codice legittimo e malevolo si sfumano, la vigilanza non è più facoltativa. La forza dell’ecosistema open-source - la sua apertura - è diventata la sua più grande vulnerabilità. La prossima estensione che installerai potrebbe essere più di un potenziatore di produttività; potrebbe essere un sabotatore silenzioso.

TECHCROOK

Per ridurre il rischio di infezioni da estensioni malevole e attacchi alla supply chain negli ambienti di sviluppo, una soluzione concreta è Bitdefender Total Security, suite di protezione multipiattaforma pensata per intercettare loader, RAT e download sospetti anche quando il codice è offuscato. Integra protezione in tempo reale con analisi comportamentale, anti-phishing e web protection per bloccare siti e repository compromessi, oltre a moduli anti-ransomware e controllo delle applicazioni utili su workstation di sviluppo. La gestione delle scansioni e delle esclusioni consente di mantenere prestazioni adeguate durante build e test, senza rinunciare al monitoraggio dei processi e delle modifiche anomale. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Typosquatting: Il typosquatting si verifica quando gli attaccanti usano nomi simili a quelli di siti o software affidabili per ingannare gli utenti e indurli a visitare siti falsi o scaricare malware.
• VSIX: Un file VSIX è un formato di pacchetto per distribuire e installare estensioni in Visual Studio Code e in editor simili, consentendo rapidi aggiornamenti delle funzionalità.
• Trojan di accesso remoto (RAT): Un trojan di accesso remoto (RAT) è un malware che consente agli attaccanti di controllare segretamente il computer di una vittima da qualsiasi luogo, permettendo furti e attività di spionaggio.
• JavaScript offuscato: Il JavaScript offuscato è codice deliberatamente rimescolato per nasconderne il vero scopo, rendendo difficile per gli esseri umani e per gli strumenti di sicurezza analizzare o rilevare le minacce.
• Dipendenze transitive: Le dipendenze transitive sono componenti software inclusi indirettamente, che possono introdurre vulnerabilità nascoste e aumentare la superficie di attacco complessiva di un’applicazione.