Security

GlassWorm Kembali di OpenVSX — Tiga Ekstensi VS Code Baru Telah Diunduh >10.000 Kali

Kampanye malware GlassWorm, yang awalnya menyerang pasar ekstensi Visual Studio Code dan OpenVSX bulan lalu, kembali aktif dengan tiga ekstensi baru yang sudah tercatat lebih dari 10.000 unduhan. Penemuan terbaru ini menandai kelanjutan serangan supply-chain yang menargetkan lingkungan pengembang dan ekosistem ekstensi editor kode.

Teknik serangan: Unicode tak terlihat, transaksi Solana, dan pencurian kredensial

Menurut analisis peneliti, GlassWorm memanfaatkan beberapa teknik canggih sekaligus: menyembunyikan loader dengan karakter Unicode “tak terlihat” yang tampil kosong di editor namun dieksekusi sebagai JavaScript; menggunakan transaksi blockchain Solana untuk mengatur dan memperbarui payload; serta menyasar kredensial layanan pengembang (GitHub, NPM, OpenVSX) dan data dompet kripto yang ditemukan di puluhan ekstensi korban. Metode-metode ini memungkinkan malware berfungsi sebagai worm yang dapat menyebar dan mengupdate dirinya sendiri tanpa interaksi langsung dari operator marketplace.

Ekstensi baru dan angka unduhan

Tiga paket OpenVSX yang diidentifikasi membawa payload GlassWorm adalah:

  • ai-driven-dev.ai-driven-dev — sekitar 3.400 unduhan,
  • adhamu.history-in-sublime-merge — sekitar 4.000 unduhan,
  • yasuyuky.transient-emacs — sekitar 2.400 unduhan.
    Total unduhan ketiga paket ini melewati angka 10.000, dan indikator teknis memperlihatkan pola obfuskasi yang sama seperti gelombang awal.

Dampak dan cakupan korban

Investigasi yang dilakukan oleh Koi Security, yang memantau kampanye ini, mengungkap bahwa operator GlassWorm telah menggunakan infrastruktur yang diperbarui (C2 endpoint baru) dan terus menargetkan repositori terbuka. Melalui sumber yang diperoleh secara anonim, peneliti berhasil mengakses server penyerang dan menemukan bukti kompromi pada akun dan korban di berbagai wilayah — termasuk Amerika, Eropa, Asia Selatan dan beberapa lembaga pemerintah di Timur Tengah — dengan setidaknya puluhan korban teridentifikasi sejauh ini. Informasi ini telah diserahkan ke penegak hukum untuk tindakan lanjutan.

Mengapa ini sangat berbahaya bagi pengembang

GlassWorm tidak hanya mengekstrak token dan kredensial; ia juga dapat:

  • Mengambil alih pipeline build dengan kredensial yang dicuri,
  • Menyuntikkan pembaruan berbahaya ke paket lain (propagasi supply-chain),
  • Menjadikan mesin developer sebagai proxy (SOCKS) atau pintu belakang VNC yang memungkinkan akses jarak jauh, serta
  • Menguras dompet kripto yang terhubung.
    Karena malware bersembunyi di dalam file yang tampak normal dan memanfaatkan teknik obfuskasi visual, pemeriksaan manual sederhana sering kali gagal mendeteksinya.

Respon pasar dan status saat ini

OpenVSX sebelumnya telah memutar ulang token akses untuk sejumlah akun yang terkompromi dan memperketat beberapa mekanisme keamanan, namun gelombang baru menunjukkan bahwa mitigasi awal belum sepenuhnya menutup vektor serangan. Pada saat penulisan, ketiga ekstensi baru tersebut masih tercatat tersedia di OpenVSX, sehingga pengguna dan administrator harus bertindak cepat.

Rekomendasi mitigasi (segera dilakukan)

  1. Hentikan penggunaan ekstensi yang tidak tepercaya — hapus ketiga paket yang disebutkan dan semua ekstensi yang pernah dipublikasikan ulang oleh akun-akun mencurigakan.
  2. Rotasi kredensial — segera reset token NPM, GitHub, OpenVSX dan kredensial terkait CI/CD bila ada indikasi kompromi.
  3. Audit pipeline build — periksa cache paket internal, artefak build, dan riwayat publikasi paket untuk tanda-tanda rilis tak sah.
  4. Perketat validasi — aktifkan scanning dependency SCA (software composition analysis), pemeriksaan tanda tangan paket bila tersedia, dan pembatasan publish pada akun yang terverifikasi.
  5. Laporkan dan koordinasikan — kirim IOC (indicator of compromise) ke tim keamanan, registry, dan penegak hukum; laporkan ekstensi berbahaya ke OpenVSX dan platform terkait.

Kesimpulan

GlassWorm memperlihatkan evolusi serangan pada rantai pasokan perangkat lunak: malware yang bisa menyamar, memperbarui dirinya lewat blockchain, dan menyebar melalui akun developer yang terkompromi. Ancaman ini menempatkan seluruh ekosistem pengembangan — dari IDE sampai pipeline CI/CD — pada risiko serius. Organisasi pengembang dan individu harus segera meninjau dependensi mereka, mereset kredensial yang berpotensi bocor, serta menerapkan kebijakan penerimaan paket yang lebih ketat untuk menutup celah penyebaran selanjutnya.

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button