Через шестнадцать дней после официального объявления о полной локализации инцидента с червем GlassWorm исследователи безопасности зафиксировали новую волну заражений. Эта самораспространяющаяся угроза, использующая невидимые символы Unicode для сокрытия вредоносного кода, продолжает развиваться, демонстрируя устойчивость инфраструктуры злоумышленников и реальное воздействие на организации по всему миру.
Описание
6 ноября 2025 года системы мониторинга обнаружили компрометацию трех дополнительных расширений на платформе OpenVSX. Расширения ai-driven-dev.ai-driven-dev, adhamu.history-in-sublime-merge и yasuyuky.transient-emacs, суммарно имевшие около 10 000 загрузок, содержали тот же характерный почерк GlassWorm. Вредоносный код оставался невидимым в редакторах, используя непечатаемые символы Unicode, которые отображаются как пустое пространство, но выполняются интерпретатором как JavaScript.
Особенностью новой волны стала свежая транзакция в блокчейне Solana, предоставляющая обновленные командно-контрольные endpoints. Этот механизм демонстрирует устойчивость блокчейн-инфраструктуры для управления атаками. Даже при выводе из строя серверов с полезной нагрузкой злоумышленник может опубликовать новую транзакцию за минимальную стоимость, после чего все зараженные машины автоматически получат новые адреса. При этом основные серверы инфраструктуры остались прежними: 199.247.10.166 в качестве первичного C2-сервера и 199.247.13.106:80/wall для эксфильтрации данных.
Наиболее значимым прорывом в расследовании стал доступ к серверу злоумышленника. Благодаря информации от независимого исследователя безопасности была обнаружена незащищенная конечная точка, позволившая извлечь частичный список жертв. География компрометации охватывает США, Южную Америку, Европу и Азию, включая крупное государственное учреждение с Ближнего Востока. Эти данные подтверждают, что угроза вышла за рамки компрометации расширений и представляет реальную опасность для критической инфраструктуры.
На сервере также были обнаружены данные кейлоггера самого злоумышленника, предоставившие ценную информацию для атрибуции. Анализ показал использование русского языка, применение фреймворка RedExt для управления браузерными расширениями, а также идентификаторы пользователя на криптовалютных биржах и мессенджерах. Вся эта информация была передана правоохранительным органам для дальнейшего расследования.
Параллельно исследователи из Aikido Security зафиксировали распространение GlassWorm на репозитории GitHub. Злоумышленники используют скомпрометированные учетные данные GitHub для внедрения вредоносных коммитов, которые выглядят как легитимные изменения кода, потенциально сгенерированные искусственным интеллектом. Скрытые нагрузки используют ту же схему с невидимыми символами Unicode и механизм доставки через блокчейн Solana, подтверждая принадлежность к семейству GlassWorm.
Текущая ситуация демонстрирует сохраняющуюся активность угрозы несмотря на ранее объявленную локализацию. Исследователи работают с правоохранительными органами для уведомления пострадавших и координации усилий по нейтрализации инфраструктуры злоумышленников. Однако масштабы компрометации, вероятно, значительно шире обнаруженных данных, что подчеркивает необходимость постоянной бдительности со стороны разработчиков и организаций, использующих экосистему VS Code.
Индикаторы компрометации
IPv4
- 199.247.10.166
URLs
- 199.247.13.106:80/wall
Compromised Extensions:
- adhamu.history-in-sublime-merge@1.3.4
- yasuyuky.transient-emacs@0.23.1
- ai-driven-dev.ai-driven-dev@0.4.11
