Исследовательская группа Socket по угрозам безопасности выявила сложную атаку на цепочку поставок, нацеленную на экосистему Open VSX Registry. Злоумышленники, получив доступ к учетным данным публикации разработчика, распространили вредоносные версии четырех популярных расширений, которые в совокупности были загружены более 22 000 раз. Основной целью атаки стали данные пользователей macOS, включая учетные данные, криптовалютные кошельки и критически важную информацию для разработчиков.
Описание
По данным аналитиков, 30 января 2026 года под учетной записью автора с псевдонимом "oorzc" в реестре Open VSX были опубликованы вредоносные обновления для четырех расширений: FTP/SFTP/SSH Sync Tool, I18n Tools, vscode mindmap и scss to css. Эти утилиты, существовавшие на платформе более двух лет, имели репутацию легитимных инструментов для разработчиков. Команда безопасности Open VSX оценила инцидент как результат утечки токена публикации или иного несанкционированного доступа к учетным данным.
Вредоносный код, внедренный в обновления, представляет собой многостадийный загрузчик, связанный с кластером угроз GlassWorm. Его ключевой особенностью является использование блокчейна Solana в качестве динамической системы командования. Загрузчик извлекает указатели на серверы управления из мемо транзакций Solana, что позволяет злоумышленникам быстро менять инфраструктуру без перепубликации расширений. Кроме того, код содержит проверку локали системы и при обнаружении русского языка или московского часового пояса прекращает выполнение, что является классической операционной безопасностью киберпреступных групп.
После прохождения проверок на целевой системе macOS выполняется финальная вредоносная нагрузка. Ее основная функция - кража конфиденциальных данных. Полезная нагрузка целенаправленно собирает файлы браузеров, включая куки, историю и базы данных логинов, а также данные расширений для криптокошельков, таких как MetaMask. Она также ищет файлы настольных криптовалютных кошельков, включая Electrum, Exodus, Atomic и другие.
Особую опасность представляет сбор учетных данных разработчиков. Полезная нагрузка целенаправленно извлекает конфигурационные файлы и приватные ключи из каталогов "~/.aws" и "~/.ssh", что создает риск компрометации облачных аккаунтов и lateral movement в корпоративных сетях. Дополнительно она ищет токены аутентификации npm и артефакты GitHub, доступ к которым может открыть злоумышленникам приватные репозитории и секреты систем непрерывной интеграции. Собранные данные архивируются и передаются на контролируемые злоумышленниками серверы. Для обеспечения постоянного доступа на зараженной системе создается служба автозапуска через LaunchAgent.
Этот инцидент знаменует серьезную эскалацию в тактике злоумышленников. В отличие от предыдущих волн GlassWorm, которые полагались на typosquatting и клонирование популярных инструментов, в данном случае была скомпрометирована учетная запись легитимного издателя с историей и высокой репутацией. Такая атака сложнее для обнаружения, так как исходит из доверенного источника.
После получения отчета от Socket команда безопасности Eclipse Foundation, курирующая Open VSX Registry, оперативно отреагировала. Были деактивированы токены издателя, вредоносные версии удалены, а одно из расширений целиком внесено в список вредоносного ПО. Эксперты подчеркивают важность оперативного реагирования на подобные инциденты, поскольку безопасность является общей задачей.
Пользователям, которые могли установить скомпрометированные расширения, рекомендуется немедленно удалить их и провести ротацию всех потенциально затронутых учетных данных: в первую очередь токенов GitHub и npm, затем ключей AWS и SSH. На системах macOS необходимо проверить каталог "~/Library/LaunchAgents" на наличие подозрительных файлов конфигурации. Для профилактики подобных атак специалисты советуют внедрять решения для контроля цепочки поставок, которые могут анализировать риск на этапах установки и обновления зависимостей.
Индикаторы компрометации
IPv4
- 45.32.150.251
Malicious Open VSX Extensions
- oorzc.ssh-tools — v0.5.1
- oorzc.i18n-tools-plus — v1.6.8
- oorzc.mind-map — v1.0.61
- oorzc.scss-to-css-compile — v1.3.4
- Angular-studio.ng-angular-extension
- awesome-codebase.codebase-dart-pro
- cudra-production.vsce-prettier-pro
- dev-studio-sense.php-comp-tools-vscode
- ko-zu-gun-studio.synchronization-settings-vscode
- littensy-studio.magical-icons
- pretty-studio-advisor.prettyxml-formatter
- sol-studio.solidity-extension
- studio-jjalaire-team.professional-quarto-extension
- studio-velte-distributor.pro-svelte-extension
- sun-shine-studio.shiny-extension-for-vscode
- tucyzirille-studio.angular-pro-tools-extension
- vce-brendan-studio-eich.js-debuger-vscode
Solana address
- BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC
Embedded Crypto Material
- AES key: wDO6YyTm6DL0T0zJ0SXhUql5Mo0pdlSz
- AES IVs (hex): c4b9a3773e9dced6015a670855fd32b
