好的,我需要帮用户总结这篇文章的内容,控制在100字以内。首先,我得通读全文,抓住关键点。文章讲的是Koi Security的研究人员发现了GlassWorm蠕虫的回归,这是第一个攻击VS Code扩展的蠕虫。它通过OpenVSX市场传播,感染了数千个软件包,导致大约10,000次额外感染。 接下来,蠕虫利用NPM、Git和GitHub的凭证来传播,并部署代理服务器和远程访问工具。研究人员发现攻击者使用俄语,并利用RedExt浏览器扩展作为C2框架。他们还提到供应链安全的重要性,传统安全工具可能不够应对这种威胁。 现在,我需要把这些信息浓缩到100字以内。确保涵盖主要事件:蠕虫回归、传播方式、感染数量、攻击者背景以及安全建议。同时避免使用“这篇文章总结”之类的开头词。 可能的结构是:GlassWorm回归,攻击VS Code扩展,通过OpenVSX传播,感染1万次以上,利用凭证部署代理和远程访问工具。攻击者使用俄语和RedExt框架。强调供应链安全的重要性。 检查字数是否在限制内,并确保信息准确无误。 </think> GlassWorm蠕虫回归,攻击VS Code扩展并感染超1万次。通过收集开发者凭证传播,并部署代理和远程访问工具。研究人员发现攻击者使用俄语及开源框架RedExt。强调供应链安全的重要性。 2025-11-11 17:0:39 Author: www.securityinfo.it(查看原文) 阅读量:3 收藏
Nov 11, 2025 Attacchi, In evidenza, Minacce, News, RSS
I ricercatori di Koi Security hanno segnalato il ritorno di GlassWorm, il primo worm che colpisce le estensioni di VS Code sul marketplace OpenVSX.
Il worm era stato individuato per la prima volta quasi tre settimane fa dalla compagnia in centinaia di pacchetti software open-source. Una volta installato sui sistemi, il malware si autoreplica in altri progetti modificando i file di configurazione delle estensioni. Il worm è particolarmente difficile da contrastare perché utilizza tecniche di offuscamento avanzate, infettando il codice senza essere individuato.
Per propagarsi nella supply chain, GlassWorm individua e raccoglie le credenziali NPM, Git e GitHub, usandole poi per compromettere altri pacchetti ed estensioni. Tra le capacità più significative del worm ci sono il deploy di server proxy SOCKS sulle macchine infettate e l’installazione di server VCN per l’accesso remoto ai dispositivi.
Il 21 ottobre, pochi giorni dopo la segnalazione, OpenVSX aveva comunicato che la problematica era stata risolta; il 6 novembre, però, il team di Koi Security ha individuato una nuova ondata di infezioni del worm. Nel dettaglio, il malware è stato individuato in ai-driven-dev.ai-driven-dev, adhamu.history-in-sublime-merge e yasuyuky.transient-emacs. L’impatto stimato è di circa 10.000 infezioni aggiuntive.
I ricercatori di Koi Security sono riusciti a individuare un endpoint esposto sul server degli attaccanti ed esfiltrare dati dalla loro architettura. Dalle informazioni reperite è emerso che le vittime del worm sono diffuse in tutto il mondo; tra queste ci sono sia sviluppatori indipendenti che organizzazioni, compresa un’entità governativa del Medio Oriente.
“Non si tratta di vittime ipotetiche. Si tratta di organizzazioni reali e persone reali le cui credenziali sono state raccolte, i cui computer potrebbero essere utilizzati come infrastruttura proxy criminale e le cui reti interne potrebbero essere già state compromesse” avvertono i ricercatori.
Dai dati trovati nei server il team di Koi Security ha scoperto che gli attaccanti parlano il russo e che usano RedExt, un’estensione browser open-source per il framework C2. I ricercatori sono riusciti inoltre a entrare in possesso degli user ID di diverse piattaforme di messaggistica e di scambio di criptovalute degli attaccanti.
“GlassWorm è un esempio del perché la visibilità e la governance dell’intera catena di fornitura del software non sono più opzionali” sottolineano i ricercatori. “Quando il malware può essere letteralmente invisibile, quando i worm possono auto-propagarsi attraverso credenziali rubate, quando l’infrastruttura di attacco non può essere smantellata, gli strumenti di sicurezza tradizionali non sono sufficienti“.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh