«Доверяй, но проверяй» больше не работает. Хакерам удалось захватить аккаунты популярных разработчиков на Open VSX
NewsMakerВаши привычные инструменты внезапно превратились в двойных агентов.
В каталоге расширений Open VSX зафиксирована новая атака на цепочку поставок, связанная с захватом учётной записи разработчика. Злоумышленники внедрили вредоносные обновления в популярные инструменты для среды разработки и распространили загрузчик GlassWorm , нацеленный на кражу данных и учётных записей. Инцидент затронул расширения с десятками тысяч установок и показал смену тактики атакующих.
Команда Socket обнаружила , что неизвестные получили доступ к данным публикации автора с псевдонимом oorzc и выпустили заражённые версии четырёх расширений в реестре Open VSX. Аналитики площадки оценили ситуацию как использование утёкшего токена или иного несанкционированного доступа к механизму публикации. Вредоносный код был добавлен в обновления FTP SFTP SSH Sync Tool, I18n Tools, vscode mindmap и scss to css. До заражения эти проекты долгое время распространялись как легитимные утилиты и суммарно набрали более 22 000 загрузок.
В обновлённых версиях находился многоэтапный загрузчик. Он расшифровывает скрытый фрагмент кода во время запуска и выполняет его в памяти. При этом используется проверка локали и часового пояса — системы с русскоязычными настройками пропускаются. Адреса управляющих серверов подгружаются не напрямую, а через заметки в транзакциях блокчейна Solana, что позволяет быстро менять инфраструктуру без перевыпуска расширения.
Следующий этап атаки ориентирован на macOS. После запуска модуль собирает cookie, базы входа и историю браузеров, включая Firefox и решения на базе Chromium, а также данные криптокошельков и соответствующих расширений. Среди целей — MetaMask, Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance и TonKeeper. Дополнительно копируются файлы связки ключей macOS, заметки Apple, cookie Safari и параметры FortiClient VPN. Особый интерес для атакующих представляют каталоги разработчика с ключами AWS и SSH, что создаёт риск компрометации облачных сред и дальнейшего распространения внутри инфраструктуры. Также извлекаются токены npm и артефакты доступа к GitHub, которые могут открыть путь к приватным репозиториям и конвейерам сборки.
В каталоге расширений Open VSX зафиксирована новая атака на цепочку поставок, связанная с захватом учётной записи разработчика. Злоумышленники внедрили вредоносные обновления в популярные инструменты для среды разработки и распространили загрузчик GlassWorm , нацеленный на кражу данных и учётных записей. Инцидент затронул расширения с десятками тысяч установок и показал смену тактики атакующих.
Команда Socket обнаружила , что неизвестные получили доступ к данным публикации автора с псевдонимом oorzc и выпустили заражённые версии четырёх расширений в реестре Open VSX. Аналитики площадки оценили ситуацию как использование утёкшего токена или иного несанкционированного доступа к механизму публикации. Вредоносный код был добавлен в обновления FTP SFTP SSH Sync Tool, I18n Tools, vscode mindmap и scss to css. До заражения эти проекты долгое время распространялись как легитимные утилиты и суммарно набрали более 22 000 загрузок.
В обновлённых версиях находился многоэтапный загрузчик. Он расшифровывает скрытый фрагмент кода во время запуска и выполняет его в памяти. При этом используется проверка локали и часового пояса — системы с русскоязычными настройками пропускаются. Адреса управляющих серверов подгружаются не напрямую, а через заметки в транзакциях блокчейна Solana, что позволяет быстро менять инфраструктуру без перевыпуска расширения.
Следующий этап атаки ориентирован на macOS. После запуска модуль собирает cookie, базы входа и историю браузеров, включая Firefox и решения на базе Chromium, а также данные криптокошельков и соответствующих расширений. Среди целей — MetaMask, Electrum, Exodus, Atomic, Ledger Live, Trezor Suite, Binance и TonKeeper. Дополнительно копируются файлы связки ключей macOS, заметки Apple, cookie Safari и параметры FortiClient VPN. Особый интерес для атакующих представляют каталоги разработчика с ключами AWS и SSH, что создаёт риск компрометации облачных сред и дальнейшего распространения внутри инфраструктуры. Также извлекаются токены npm и артефакты доступа к GitHub, которые могут открыть путь к приватным репозиториям и конвейерам сборки.