VS Code kengaytmalarida minglab foydalanuvchilarga tarqalgan GlassWorm zararli dasturi aniqlandi
2
27
0
Kiberxavfsizlik tadqiqotchilari GlassWorm (zararli dastur - malware) bilan bog‘liq yana uchta yangi kengaytmani oshkor qilishdi. Bu, tahdid manbalari Visual Studio Code (VS Code) ekotizimini nishonga olishni davom ettirayotganini ko‘rsatadi.
Hozircha yuklab olish uchun ochiq bo‘lgan kengaytmalar:
ai-driven-dev.ai-driven-dev (3 402 marta yuklab olingan)
adhamu.history-in-sublime-merge (4 057 marta yuklab olingan)
yasuyuky.transient-emacs (2 431 marta yuklab olingan)
GlassWorm nomi bilan tanilgan bu zararli dastur birinchi marta o‘tgan oy Koi Security tomonidan fosh etilgan edi. Tahdid manbalari Open VSX Registry va Microsoft Extension Marketplace platformalaridagi VS Code kengaytmalaridan foydalanib, Open VSX, GitHub va Git hisob ma’lumotlarini o‘g‘irlash, 49 xil kriptovalyuta hamyoni kengaytmasidagi mablag‘larni yechib olish hamda masofaviy kirish uchun qo‘shimcha vositalarni joylashtirish bilan shug‘ullanishgan.
Bu zararli dastur o‘ziga xosligi bilan ajralib turadi — u ko‘rinmas Unicode belgilaridan foydalanib, zararli kodni kod muharrirlarida yashiradi. Shuningdek, o‘g‘irlangan ma’lumotlar yordamida boshqa kengaytmalarni ham buzadi va o‘zini ko‘paytirish jarayonini yo‘lga qo‘yadi, bu esa uni “chuvalchang” (worm) kabi tarqaladigan qilib qo‘yadi.
Open VSX ushbu topilmalarga javoban barcha zararli kengaytmalarni aniqlab, tizimdan olib tashlaganini va 2025-yil 21-oktabr holatiga ko‘ra ular bilan bog‘liq barcha tokenlarni yangilaganini yoki bekor qilganini ma’lum qildi. Shunga qaramay, Koi Security’ning so‘nggi hisobotiga ko‘ra, tahdid yana qaytadan paydo bo‘lgan — bu safar ham xuddi shu ko‘rinmas Unicode belgilar yordamida aniqlanishdan qochish usulidan foydalangan.
“Huquqbuzarlar Solana blockchainiga yangi o'tkazma joylashtirib, keyingi bosqichdagi yuklamani olish uchun yangilangan C2 (command-and-control) manzilini ko‘rsatgan,” — deb xabar berdi xavfsizlik tadqiqotchilari Idan Dardikman, Yuval Ronen va Lotan Sery.
“Bu blockchain asosidagi C2 infratuzilmasining barqarorligini namoyish etadi — agar yuklama serverlari o‘chirib tashlansa ham, hujumchi atigi bir necha tiyin qiymatidagi o'tkazma orqali yangi manzilni e’lon qilishi mumkin va zararlangan barcha kompyuterlar avtomatik tarzda yangi manzilni olishadi.”
Xavfsizlik kompaniyasi, shuningdek, hujumchining serverida tasodifan oshkor bo‘lib qolgan endpoint’ni aniqlaganini ma’lum qildi. Ushbu topilma orqali AQSh, Janubiy Amerika, Yevropa va Osiyoni qamrab olgan qurbonlar ro‘yxatining bir qismi fosh bo‘ldi. Ular orasida Yaqin Sharqdagi yirik hukumat tashkiloti ham mavjud.
Qo‘shimcha tahlillar davomida hujumchining o‘z kompyuteridan olingan keylogger ma’lumotlari topilgan. Bu ma’lumotlar GlassWorm zararli dasturining kelib chiqishi haqida ba’zi izlarni bergan. Tahdid manbasi rus tilida so‘zlashuvchi shaxs sifatida baholanmoqda va u o‘z infratuzilmasining bir qismi sifatida RedExt deb nomlangan ochiq-manbali brauzer kengaytmasi C2 freymuorkidan foydalanayotgan bo‘lishi mumkin.
“Kelib chiqqan zarar haqiqiy — bu haqiqiy tashkilotlar va haqiqiy odamlar. Ularning hisob ma’lumotlari o‘g‘irlangan, kompyuterlari jinoyatchilar uchun proksi infratuzilma sifatida ishlatilayotgan bo'lishi yoki ichki tarmoqlari allaqachon buzilgan bo‘lishi mumkin,” — dedi Koi Security.
Bu voqea Aikido Security tomonidan e’lon qilingan so‘nggi topilmalardan keyin yuz berdi. Unga ko‘ra, GlassWorm endi GitHub’ni ham nishonga olmoqda — o‘g‘irlangan GitHub hisoblari zararli commit’larni repository’larga joylashtirish uchun ishlatilayotgani aniqlangan.
