Gelombang Ketiga Malware Glassworm Serang Ekstensi VS Code

Kampanye malware Glassworm, yang pertama kali muncul di OpenVSX dan Microsoft Visual Studio Marketplace pada Oktober lalu, kini memasuki gelombang ketiga dengan 24 paket baru yang ditambahkan ke kedua platform tersebut. Serangan ini kembali menimbulkan kekhawatiran di kalangan pengembang yang mengandalkan ekstensi untuk meningkatkan produktivitas di editor kode mereka.

Target Ekstensi Populer

OpenVSX dan Visual Studio Marketplace merupakan repositori ekstensi untuk editor kompatibel VS Code. Marketplace milik Microsoft adalah platform resmi, sementara OpenVSX menjadi alternatif terbuka bagi editor yang tidak menggunakan toko milik Microsoft. Glassworm memanfaatkan celah dengan menyusupkan kode berbahaya ke dalam ekstensi populer, termasuk framework dan alat pengembang seperti Flutter, Vim, Yaml, Tailwind, Svelte, React Native, dan Vue.

Peneliti dari Secure Annex, John Tuckner, menemukan bahwa paket-paket baru yang muncul meniru ekstensi sah dengan nama penerbit berbeda. Setelah diterima di marketplace, penerbit palsu mendorong pembaruan berisi kode berbahaya, lalu memanipulasi jumlah unduhan agar terlihat sah dan terpercaya. Taktik ini membuat ekstensi berbahaya muncul di hasil pencarian berdekatan dengan proyek asli.

Teknik Penyembunyian dan Evolusi

Glassworm pertama kali didokumentasikan oleh Koi Security pada 20 Oktober. Malware ini menggunakan karakter Unicode tak terlihat untuk menyamarkan kode dari proses peninjauan. Setelah terpasang, ia berupaya mencuri akun GitHub, npm, dan OpenVSX, serta data dompet kripto dari 49 ekstensi. Selain itu, malware ini memasang SOCKS proxy untuk mengalihkan lalu lintas berbahaya melalui perangkat korban dan menginstal klien HVNC guna memberi akses jarak jauh tersembunyi bagi operator.

Dalam gelombang terbaru, Glassworm berevolusi dengan menyertakan implan berbasis Rust di dalam paket ekstensi, sementara trik Unicode tetap digunakan pada beberapa kasus. Hal ini menunjukkan upaya berkelanjutan untuk menghindari deteksi.

Paket yang Terdampak

Secure Annex melaporkan sejumlah paket yang termasuk dalam gelombang ketiga, di antaranya:

• VS Marketplace: iconkieftwo.icon-theme-materiall, prisma-inc.prisma-studio-assistance, prettier-vsc.vsce-prettier, flutcode.flutter-extension, csvmech.csvrainbow, codevsce.codelddb-vscode, saoudrizvsce.claude-devsce, clangdcode.clangd-vsce, cweijamysq.sync-settings-vscode, bphpburnsus.iconesvscode, klustfix.kluster-code-verify, vims-vsce.vscode-vim, yamlcode.yaml-vscode-extension, solblanco.svetle-vsce, vsceue.volar-vscode, redmat.vscode-quarkus-pro, msjsdreact.react-native-vsce.
• OpenVSX: bphpburn.icons-vscode, tailwind-nuxt.tailwindcss-for-react, flutcode.flutter-extension, yamlcode.yaml-vscode-extension, saoudrizvsce.claude-dev, saoudrizvsce.claude-devsce, vitalik.solidity.

Respons Platform

Sebelumnya, OpenVSX sempat menyatakan insiden telah sepenuhnya terkendali dengan melakukan rotasi token akses yang dikompromikan. Namun, kembalinya Glassworm membuktikan bahwa mekanisme pertahanan masih dapat ditembus. Microsoft sendiri menyampaikan bahwa mereka terus meningkatkan sistem pemindaian dan deteksi untuk mencegah penyalahgunaan, serta mendorong pengguna melaporkan konten mencurigakan melalui fitur “Report Abuse” yang tersedia di setiap halaman ekstensi.