GlassWorm v2: 73 «sleeper» extensions στο Open VSX μολύνουν developers

Η εκστρατεία malware GlassWorm επιστρέφει με ανανεωμένη τακτική και νέα κύματα επιθέσεων στο οικοσύστημα των VS Code extensions. Ερευνητές της εταιρείας κυβερνοασφάλειας Socket εντόπισαν 73 νέες κακόβουλες extensions στο Open VSX marketplace, σε αυτό που πλέον αποκαλείται επίσημα GlassWorm v2.

Τι είναι οι «sleeper» extensions;

Ο όρος «sleeper extension» περιγράφει ένα ψεύτικο πακέτο που δημοσιεύεται από κακόβουλους παράγοντες πριν οπλιστεί. Αρχικά φαίνεται αθώο, χτίζει εμπιστοσύνη και συγκεντρώνει downloads, για να μετατραπεί αργότερα σε φορέα malware μέσω μιας απλής ενημέρωσης. Ουσιαστικά, ο χρήστης εγκαθιστά κάτι που φαίνεται νόμιμο, αλλά «ξυπνά» αργότερα για να τον χτυπήσει.

Πώς λειτουργεί το νέο κύμα επιθέσεων

Το νέο cluster εντοπίστηκε τον Απρίλιο του 2026 και αποτελεί συνέχεια ενός προηγούμενου κύματος του Μαρτίου 2026, όπου είχαν εντοπιστεί 72 κακόβουλες extensions. Συνολικά, από τον Δεκέμβριο του 2025, έχουν εντοπιστεί περισσότερα από 320 κακόβουλα artifacts.

Τα 73 νέα extensions παρουσιάζουν τα εξής χαρακτηριστικά:

• Cloned listings: Αντιγράφουν επακριβώς branding, εικονίδια και περιγραφές δημοφιλών extensions για να εξαπατήσουν τους χρήστες.
• Νέοι GitHub λογαριασμοί: Δημοσιεύθηκαν από νεοδημιουργημένους GitHub λογαριασμούς με μόλις ένα ή δύο repositories — εκ των οποίων το ένα είναι κενό και φέρει ένα όνομα οκτώ χαρακτήρων.
• Transitive delivery: Κακόβουλα dependencies εγκαθίστανται σιωπηλά μέσω των μηχανισμών extensionPack και extensionDependencies, χωρίς το ίδιο το extension να περιέχει εμφανώς κακόβουλο κώδικα.
• GitHub-hosted payloads: Τα VSIX payloads φιλοξενούνται εξωτερικά στο GitHub, καθιστώντας πιο δύσκολη την αφαίρεσή τους από τα registries.
• Obfuscated JavaScript & native binaries: Χρήση συγκεκαλυμμένης JavaScript και platform-specific native modules (.node) για παράκαμψη εργαλείων ανίχνευσης.

Ποιοι κινδυνεύουν;

Η απειλή στοχεύει developers που χρησιμοποιούν editors βασισμένους σε VS Code, συγκεκριμένα: VS Code, Cursor, Windsurf και VSCodium. Τα extensions κατεβάζουν το payload και το εγκαθιστούν χρησιμοποιώντας την εντολή --install-extension, εξαπλώνοντας τη μόλυνση σε πολλαπλά IDEs ταυτόχρονα.

Το αρχικό GlassWorm (Δεκέμβριος 2025) ήταν ιδιαίτερα επικίνδυνο: χρησιμοποιούσε αόρατους Unicode χαρακτήρες για να κρύψει κακόβουλο κώδικα και blockchain-based C2 υποδομή μέσω του Solana blockchain. Παράλληλα, έκλεβε NPM, GitHub και Git credentials, στόχευε 49 διαφορετικά cryptocurrency wallets και εγκαθιστούσε κρυφούς VNC servers για πλήρη απομακρυσμένη πρόσβαση.

Τι πρέπει να κάνεις για να προστατευθείς

• Να ελέγχεις πάντα τον publisher μιας extension πριν την εγκαταστήσεις — ένας νέος λογαριασμός με ελάχιστα repositories είναι κόκκινη σημαία.
• Να συγκρίνεις τον αριθμό των downloads με το επίσημο extension — μεγάλη διαφορά σημαίνει πιθανή απάτη.
• Να απενεργοποιήσεις την αυτόματη ενημέρωση extensions εφόσον δεν επαληθεύεις πρώτα τις αλλαγές.
• Να τηρείς ένα inventory των εγκατεστημένων extensions και να εξετάσεις τη χρήση centralized allowlist.
• Να χρησιμοποιείς εργαλεία όπως το Socket για monitoring του supply chain.

Πηγές

• BleepingComputer – GlassWorm malware attacks return via 73 OpenVSX sleeper extensions
• Socket.dev – 73 Open VSX Sleeper Extensions Linked to GlassWorm
• The Hacker News – Researchers Uncover 73 Fake VS Code Extensions Delivering GlassWorm v2 Malware
• Truesec – GlassWorm: Self-Propagating VSCode Extension Worm