В экосистеме разработки программного обеспечения зафиксирована первая в истории самораспространяющаяся компьютерная червь, нацеленная на расширения для популярной среды разработки VS Code. Угроза, получившая название GlassWorm, использует sophisticated методы для скрытия вредоносного кода и децентрализованную инфраструктуру на базе блокчейна Solana для управления, что значительно затрудняет её сдерживание и ликвидацию.
Описание
Инцидент начался 17 октября 2025 года с компрометации семи расширений на маркетплейсе OpenVSX, совокупное количество загрузок которых составило 35 800. Спустя два дня, 19 октября, десять расширений всё ещё активно распространяли вредоносное программное обеспечение (malware). Более тревожным стало обнаружение в тот же день заражённого расширения в официальном маркетплейсе Microsoft для VS Code, которое оставалось активным, что указывает на экспансию угрозы за пределы изначальной платформы.
Ключевой особенностью GlassWorm является инновационный метод обхода систем безопасности и проверки кода. Злоумышленники используют невидимые символы Юникода для маскировки вредоносных фрагментов кода. Для человеческого глаза, а также для многих автоматизированных процессов проверки, эти участки кода выглядят как пустое пространство, что позволяет malicious-логике оставаться незамеченной при беглом просмотре в редакторе кода и во время ревью.
Функциональность вредоноса носит комплексный и многоцелевой характер. Основная задача - хищение учётных данных. GlassWorm собирает токены и пароли от систем NPM, GitHub и Git, что предоставляет злоумышленникам ключи к репозиториям с исходным кодом. Параллельно червь нацелен на 49 различных расширений для криптовалютных кошельков, пытаясь похитить приватные ключи и сид-фразы. Для закрепления в системе и обеспечения устойчивости червь развёртывает на заражённых машинах разработчиков SOCKS5-прокси, превращая их в узлы преступной инфраструктуры, и устанавливает скрытые VNC-серверы, предоставляющие злоумышленникам полный удалённый доступ к рабочей станции жертвы.
Наиболее опасной чертой GlassWorm является её способность к самораспространению. Похищенные учётные данные GitHub и NPM немедленно используются для автоматического компрометирования дополнительных пакетов и расширений. Это создаёт цепную реакцию, позволяя червю экспоненциально распространяться через экосистему разработки, заражая всё новые проекты и рабочие процессы.
Одной из главных технических проблем для кибербезопасности стала архитектура командных серверов (C2). GlassWorm использует трёхуровневую отказоустойчивую систему. Первый и основной уровень работает на блокчейне Solana. Децентрализованная природа блокчейна делает этот канал управления практически неуязвимым для традиционного отключения, так как его нельзя «выключить» путём обращения к хостинг-провайдеру или изъятия сервера. В качестве резервных каналов связи используются прямое IP-соединение и публичные события в Google Calendar, что делает инфраструктуру червя крайне устойчивой.
Для защиты от угрозы подобного масштаба эксперты рекомендуют немедленно предпринять ряд действий. В первую очередь необходимо провести полный аудит всех установленных в VS Code расширений. Следует обратить внимание на подозрительную сетевую активность, нехарактерное использование API и наличие уязвимых зависимостей. Перед установкой новых расширений их необходимо тщательно сканировать. Лучшей практикой является установка только тех расширений, которые действительно необходимы, и удаление неиспользуемых, так как каждое из них увеличивает поверхность для потенциальной атаки.
Перед установкой важно оценивать репутацию расширения: изучать историю его обновлений, отзывы других пользователей и доверие к издателю. Функцию автоматического обновления расширений рекомендуется использовать с осторожностью, так как скомпрометированное расширение может установить вредоносное обновление без ведома пользователя. Для корпоративных сред эффективной мерой безопасности считается ведение централизованного реестра (allowlist) разрешённых к установке расширений, что позволяет контролировать и минимизировать риски.
Обнаружение GlassWorm знаменует собой новую эру киберугроз, нацеленных непосредственно на инструменты разработчиков. Использование самораспространения, стелс-техник и неуязвимой блокчейн-инфраструктуры устанавливает опасный прецедент, требующий пересмотра подходов к безопасности на всех этапах жизненного цикла программного обеспечения.
Индикаторы компрометации
IPv4
- 217.69.3.218
URLs
- 140.82.52.31:80/wall
- http://217.69.3.218/get_arhive_npm/
- http://217.69.3.218/get_zombi_payload/qQD%2FJoi3WCWSk8ggGHiTdg%3D%3D
- http://217.69.3.218/qQD%2FJoi3WCWSk8ggGHiTdg%3D%3D
- https://calendar.app.google/M2ZCvM8ULL56PD1d6
Emails
Solana Wallet
- 28PKnu7RzizxBzFPoLp69HLXp9bJL3JFtT2s5QzHsEA2
Transaction
- 49CDiVWZpuSW1b2HpzweMgePNg15dckgmqrrmpihYXJMYRsZvumVtFsDim1keESPCrKcW2CzYjN3nSQDGG14KKFM
