Sebuah serangan rantai pasokan (supply-chain attack) baru menargetkan para pengembang di OpenVSX dan Microsoft Visual Studio Code Marketplace melalui malware canggih bernama GlassWorm, yang telah diinstal lebih dari 35.800 kali di seluruh dunia.
Menurut laporan dari Koi Security, GlassWorm menggunakan teknik penyembunyian tingkat lanjut dengan karakter Unicode tak terlihat untuk menyamarkan kode berbahaya di dalam ekstensi Visual Studio Code (VS Code) dan OpenVSX, membuatnya nyaris tidak terdeteksi oleh pengembang maupun sistem keamanan.
Teknik Canggih: Kode Tak Terlihat dan Penyebaran Otomatis
GlassWorm tidak hanya menyusup ke sistem pengembang, tetapi juga menyebar secara otomatis menggunakan kredensial akun yang dicuri dari layanan seperti GitHub, npm, dan OpenVSX, guna menginfeksi ekstensi lain yang dapat diakses korban.
Setelah terpasang, malware ini melakukan beberapa aksi berbahaya:
- Mencuri kredensial dan access token pengembang dari layanan populer.
- Mengambil data dompet kripto dari 49 ekstensi yang dikenal menyimpan informasi finansial.
- Menginstal SOCKS proxy untuk menyamarkan lalu lintas berbahaya melalui komputer korban.
- Menjalankan VNC tersembunyi (HVNC) guna memberikan akses jarak jauh tanpa disadari.
Malware ini juga menggunakan blockchain Solana sebagai saluran command-and-control (C2), membuat proses penonaktifan hampir mustahil dilakukan. Sebagai cadangan, GlassWorm dapat mengambil perintah tambahan melalui Google Calendar (melalui judul event berisi URL terenkripsi base64) dan bahkan memanfaatkan jaringan BitTorrent DHT untuk distribusi desentralisasi.
Tahap Akhir: Modul ZOMBI
Tahap terakhir dari infeksi disebut ZOMBI, berupa kode JavaScript yang sangat tersamarkan (massively obfuscated). Modul ini mengubah komputer pengembang menjadi node aktif dalam jaringan kriminal, memungkinkan operator malware memanfaatkan sumber daya korban untuk aktivitas siber seperti penyebaran malware lain atau pencurian data massal.
“Tahap akhir GlassWorm menjadikan setiap workstation pengembang yang terinfeksi bagian dari infrastruktur kriminal,” tulis Koi Security.
Daftar Ekstensi yang Terinfeksi
Koi Security mengidentifikasi setidaknya 11 ekstensi di OpenVSX dan 1 ekstensi di VS Code Marketplace yang telah terinfeksi, di antaranya:
codejoy.codejoy-vscode-extension@1.8.3, 1.8.4l-igh-t.vscode-theme-seti-folder@1.2.3kleinesfilmroellchen.serenity-dsl-syntaxhighlight@0.3.2JScearcy.rust-doc-viewer@4.2.1SIRILMP.dark-theme-sm@3.11.4CodeInKlingon.git-worktree-menu@1.0.9, 1.0.91ginfuru.better-nunjucks@0.3.2ellacrity.recoil@0.7.4grrrck.positron-plus-1-e@0.0.71jeronimoekerdt.color-picker-universal@2.8.91srcery-colors.srcery-colors@0.3.9cline-ai-main.cline-ai-agent@3.1.3(VS Code Marketplace)
Sebagian besar ekstensi yang terinfeksi diunggah pada 17 Oktober, dan penyebaran berlanjut selama beberapa hari berikutnya. Karena VS Code memperbarui ekstensi secara otomatis, ribuan pengguna terinfeksi tanpa interaksi atau peringatan apa pun.
Status Terkini dan Tindakan
Hingga saat berita ini ditulis, Microsoft telah menghapus ekstensi berbahaya dari marketplace, sementara beberapa pengembang seperti pembuat vscode-theme-seti-folder dan git-worktree-menu telah merilis pembaruan untuk menghapus kode jahat. Namun, empat ekstensi berbahaya masih tersedia di OpenVSX, dan server C2 GlassWorm masih aktif.
Koi Security memperingatkan bahwa GlassWorm adalah salah satu serangan supply-chain paling kompleks yang pernah menyerang ekosistem VS Code, serta kasus pertama malware “worm-like” yang menyebar otomatis melalui marketplace pengembang.
Sumber: BleepingComputer