“Dormienti Silenziosi”: GlassWorm Colpisce di Nuovo con una Trappola Furtiva di Estensioni su OpenVSX

Quando il tuo strumento di coding preferito si aggiorna, controlli cosa è davvero cambiato? Per centinaia di sviluppatori, un aggiornamento recente è stato più di una semplice correzione di bug: è stato l’innesco di un attacco informatico nascosto. Il famigerato gruppo GlassWorm è tornato, questa volta piazzando 73 estensioni “dormienti” nel marketplace OpenVSX, ognuna in attesa di scatenare malware al segnale dell’attaccante.

L’Anatomia di un Attacco “Dormiente”

GlassWorm non è certo un nuovo arrivato nel panorama del cybercrimine. Individuato per la prima volta nell’ottobre 2025, il gruppo si è rapidamente fatto un nome infiltrando malware nelle supply chain del software - spesso nascondendo codice malevolo con trucchi Unicode invisibili. Il loro obiettivo: rubare quanti più dati sensibili degli sviluppatori e quante più criptovalute possibile, prima che i difensori se ne accorgano.

La loro ultima mossa segna un cambio strategico. Invece di inserire malware direttamente nelle estensioni di codice, GlassWorm ora carica estensioni che appaiono del tutto innocue. Solo dopo un aggiornamento successivo - talvolta settimane o mesi più tardi - arriva il vero payload. Questo approccio da “cellula dormiente” fa guadagnare tempo agli attaccanti, permettendo alle loro trappole di diffondersi ampiamente prima che qualcuno se ne accorga.

La società di sicurezza Socket ha scoperto che queste 73 estensioni canaglia sono quasi identiche a quelle popolari e legittime. Dalle icone alle descrizioni, sono progettate per mimetizzarsi, con solo indizi sottili - come il nome dell’editore o l’ID univoco - a suggerire un’azione illecita. Una volta installate, queste estensioni agiscono come loader sottili: potrebbero recuperare un pacchetto secondario da GitHub, caricare moduli specifici per piattaforma o distribuire JavaScript pesantemente offuscato che decodifica e installa ulteriore malware.

L’attacco è sofisticato e multilivello. Alcune varianti usano URL cifrati o di fallback, rendendo più difficili gli sforzi di rimozione. Altre si basano su payload multipiattaforma, ampliando la rete a utenti Windows, Linux e macOS. Nelle ondate precedenti, il malware di GlassWorm ha preso di mira di tutto, dalle chiavi SSH ai token di accesso e ai wallet di criptovalute.

La scala dell’operazione è al tempo stesso il suo punto di forza e la sua debolezza. Sebbene siano stati colpiti centinaia di repository e decine di estensioni, l’attività ha anche attirato l’attenzione di più team di sicurezza, portando a un rapido rilevamento e alla rimozione di molte inserzioni malevole.

Cosa Dovrebbero Fare gli Sviluppatori?

Se di recente hai installato estensioni OpenVSX di terze parti, controlla l’elenco pubblicato da Socket delle estensioni sospette. Si invita gli sviluppatori a ruotare tutti i segreti, ripulire i propri ambienti e restare vigili rispetto a ulteriori aggiornamenti. Questa campagna è un promemoria netto: gli attacchi alla supply chain stanno evolvendo e la comodità delle piattaforme di condivisione del codice può comportare rischi nascosti.

Guardando Avanti

Man mano che GlassWorm affina le proprie tattiche, la linea tra strumenti fidati e minacce silenziose si assottiglia sempre di più. Per ogni sviluppatore, questo è il momento di scrutinare ogni aggiornamento - non solo per nuove funzionalità, ma per segnali di compromissione in agguato sotto la superficie.

TECHCROOK

Per ridurre il rischio di estensioni malevole “dormienti” e attacchi alla supply chain negli ambienti di sviluppo, una soluzione concreta è Bitdefender Total Security, suite di sicurezza multi‑piattaforma pensata per bloccare malware, downloader e script offuscati che possono arrivare tramite aggiornamenti apparentemente legittimi. Integra protezione in tempo reale con analisi comportamentale, anti‑phishing e difese contro ransomware, utili quando un payload viene attivato in un secondo momento. Include anche funzioni di controllo delle vulnerabilità e protezione delle credenziali, rilevanti per chi gestisce token, chiavi SSH e wallet crypto su workstation Windows, macOS e dispositivi mobili. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Attacco alla Supply Chain: Un attacco alla supply chain è un cyberattacco che compromette fornitori di software o hardware fidati, diffondendo malware o vulnerabilità a molte organizzazioni contemporaneamente.
• OpenVSX: OpenVSX è un marketplace open-source in cui gli utenti possono trovare, condividere e installare estensioni per potenziare i propri editor di codice, simile a un app store.
• Loader: Un loader è un software malevolo che installa o esegue altro malware su un sistema infetto, abilitando ulteriori cyberattacchi o accessi non autorizzati.
• JavaScript Offuscato: Il JavaScript offuscato è codice deliberatamente “rimescolato” per nasconderne il vero scopo, rendendo difficile per esseri umani e strumenti di sicurezza analizzare o rilevare minacce.
• Payload: Un payload è la parte dannosa di un cyberattacco, come un virus o uno spyware, consegnata tramite email o file malevoli quando una vittima interagisce con essi.