GlassWorm kampagne misbruger udviklerværktøjer

Den kendte malware kampagne GlassWorm har udviklet sig og retter nu fokus endnu mere direkte mod udviklere og deres værktøjer. I den seneste variant udnytter angriberne en falsk udvidelse til Visual Studio Code til i stilhed at sprede skadelig software til alle udviklingsmiljøer på en brugers computer – ikke kun det, hvor udvidelsen oprindeligt installeres.

Det skriver The Hacker News.

Angrebet er observeret via en udvidelse, der blev distribueret gennem Open VSX og udgav sig for at være WakaTime, et populært værktøj, som mange udviklere bruger til at måle tidsforbrug i deres editor. Udvidelsen er siden blevet fjernet, men forskere vurderer, at den kan have nået et betydeligt antal brugere. Ved første øjekast fremstod udvidelsen legitim og lignede den ægte WakaTime næsten fuldstændigt, men i stedet for at installere et kendt værktøj fik udvikleren i stedet en skjult infektion.

Ét klik – fuld spredning

I modsætning til mange tidligere angreb nøjes GlassWorm ikke med at kompromittere ét enkelt program. Når udvidelsen først er installeret, aktiveres en skjult komponent, der giver angriberen mulighed for at arbejde uden for de normale sikkerhedsrammer. Herfra leder malwaren efter alle installerede udviklingsmiljøer på systemet, som bygger på samme teknologi som Visual Studio Code. Det kan være alternative versioner, specialudgaver eller nyere AI baserede kodeværktøjer, som mange udviklere er begyndt at bruge i hverdagen.
Resultatet er, at én enkelt fejlinstallation hurtigt kan føre til, at samtlige udviklingsmiljøer på maskinen kompromitteres, uden at brugeren får nogen synlige advarsler.

Forklædt som populær udvidelse

Som næste skridt installeres endnu en udvidelse, denne gang forklædt som et andet udbredt og velanset værktøj. Navn og funktionalitet er valgt, så det ligner en legitim udvidelse med millioner af brugere, hvilket gør det usandsynligt, at installationen vækker mistanke.
Denne anden udvidelse fungerer som indgang til den egentlige malware. Den kontakter angriberens infrastruktur, henter yderligere komponenter og åbner for fjernadgang til systemet. Samtidig begynder den at opsamle og sende følsomme oplysninger fra den kompromitterede computer.

I den afsluttende fase installeres også en ondsindet browserudvidelse, som kan opsnappe data fra webbrowseren, herunder sessionsoplysninger og andre værdifulde informationer.

Et angreb rettet mod tillid

GlassWorm kampagnen er dermed et eksempel på, hvordan trusselsaktører i stigende grad angriber softwareforsyningskæden og de værktøjer, som brugerne har høj tillid til. I stedet for at bryde ind via åbenlyse angreb udnytter de vaner, genkendelighed og forventningen om, at udvidelser fra officielle platforme er sikre.

Udviklere er naturligvis et særligt attraktivt mål, fordi deres systemer ofte indeholder adgangsnøgler, kildekode, cloud adgange og andre oplysninger med høj værdi – både direkte og som springbræt til videre angreb. Brugere, der har haft de berørte udvidelser installeret, bør betragte deres system som kompromitteret og gennemføre grundige oprydnings  og sikringstiltag, herunder udskiftning af adgangskoder og andre hemmeligheder, fremgår det.