Код теперь невидим для вас, но виден хакерам. Спасибо, Unicode. Управление – из блокчейна, блокировка — невозможна
NewsMakerЧервь GlassWorm использует Unicode и блокчейн Solana для неуловимой кражи токенов и кошельков.
Хакеры запустили новую самораспространяющуюся вредоносную программу под названием GlassWorm, которая впервые поразила экосистему расширений Visual Studio Code на маркетплейсе OpenVSX. Специалисты Koi Security обнаружили , что этот червь использует невидимый код, встроенный в исходники через особые символы Unicode, что делает его полностью незаметным в редакторе. Именно это делает атаку уникальной — обычная проверка кода или статический анализ не способны увидеть вредоносные вставки, поскольку они выглядят как пустое пространство.
GlassWorm сочетает невидимые фрагменты с трёхуровневой инфраструктурой управления: основной канал команд размещён на блокчейне Solana, где злоумышленники используют поле memo в транзакциях для передачи зашифрованных ссылок на загрузку новых стадий вредоноса. Этот метод обеспечивает абсолютную неуничтожимость C2-канала: данные в блокчейне невозможно удалить, а кошельки остаются анонимными. Вторая ступень работает через прямое соединение с IP-адресом 217.69.3.218, а резервным сервером служит событие в Google Calendar, внутри которого хранится очередная зашифрованная ссылка на файл «zombi_payload». Такое сочетание делает систему связи не только распределённой, но и практически неуязвимой для блокировки.
После расшифровки полезной нагрузки специалисты обнаружили, что GlassWorm содержит не просто набор скриптов для кражи данных, а полноценный удалённый троян. Вредонос ищет токены NPM, GitHub, OpenVSX и Git , а также данные из 49 криптовалютных кошельков, включая MetaMask, Phantom и Coinbase Wallet. Затем активируется модуль ZOMBI, превращающий заражённые машины в прокси-узлы преступной инфраструктуры. На устройствах разворачиваются SOCKS-серверы, скрытые VNC-сессии и модули WebRTC, позволяющие атакующим напрямую управлять системами через пиринговые соединения, обходя брандмауэры.
Заражённые рабочие станции программистов становятся каналами для анонимного трафика, точками доступа во внутренние сети компаний и источниками дальнейшего распространения. При этом GlassWorm использует украденные учётные данные для автоматического заражения новых расширений и пакетов, создавая замкнутый цикл самораспространения. Каждый новый заражённый разработчик становится новым узлом для атаки. В итоге заражение множится экспоненциально.
По данным Koi Security, 17 октября 2025 года было скомпрометировано 7 расширений OpenVSX с общим числом загрузок более 35 800. Через 2 дня червь появился и в официальном каталоге Microsoft VS Code. Пять расширений продолжают распространять вредоносный код. Серверы управления по-прежнему активны, а часть разработчиков, чьи аккаунты были захвачены, пока не смогли вернуть контроль. Так как расширения обновляются автоматически, пользователи получили заражённые версии без уведомлений или подтверждения.
GlassWorm стал вторым после Shai Hulud самораспространяющимся червём в экосистеме разработчиков, но значительно опаснее предшественника благодаря невидимому коду и блокчейн-управлению. Эта кампания показала, насколько легко вредоносное ПО может проникнуть в цепочку поставок программного обеспечения и остаться незамеченным даже опытными специалистами. Специалисты предупреждают, что атака продолжается, а число пострадавших растёт с каждым днём.
Хакеры запустили новую самораспространяющуюся вредоносную программу под названием GlassWorm, которая впервые поразила экосистему расширений Visual Studio Code на маркетплейсе OpenVSX. Специалисты Koi Security обнаружили , что этот червь использует невидимый код, встроенный в исходники через особые символы Unicode, что делает его полностью незаметным в редакторе. Именно это делает атаку уникальной — обычная проверка кода или статический анализ не способны увидеть вредоносные вставки, поскольку они выглядят как пустое пространство.
GlassWorm сочетает невидимые фрагменты с трёхуровневой инфраструктурой управления: основной канал команд размещён на блокчейне Solana, где злоумышленники используют поле memo в транзакциях для передачи зашифрованных ссылок на загрузку новых стадий вредоноса. Этот метод обеспечивает абсолютную неуничтожимость C2-канала: данные в блокчейне невозможно удалить, а кошельки остаются анонимными. Вторая ступень работает через прямое соединение с IP-адресом 217.69.3.218, а резервным сервером служит событие в Google Calendar, внутри которого хранится очередная зашифрованная ссылка на файл «zombi_payload». Такое сочетание делает систему связи не только распределённой, но и практически неуязвимой для блокировки.
После расшифровки полезной нагрузки специалисты обнаружили, что GlassWorm содержит не просто набор скриптов для кражи данных, а полноценный удалённый троян. Вредонос ищет токены NPM, GitHub, OpenVSX и Git , а также данные из 49 криптовалютных кошельков, включая MetaMask, Phantom и Coinbase Wallet. Затем активируется модуль ZOMBI, превращающий заражённые машины в прокси-узлы преступной инфраструктуры. На устройствах разворачиваются SOCKS-серверы, скрытые VNC-сессии и модули WebRTC, позволяющие атакующим напрямую управлять системами через пиринговые соединения, обходя брандмауэры.
Заражённые рабочие станции программистов становятся каналами для анонимного трафика, точками доступа во внутренние сети компаний и источниками дальнейшего распространения. При этом GlassWorm использует украденные учётные данные для автоматического заражения новых расширений и пакетов, создавая замкнутый цикл самораспространения. Каждый новый заражённый разработчик становится новым узлом для атаки. В итоге заражение множится экспоненциально.
По данным Koi Security, 17 октября 2025 года было скомпрометировано 7 расширений OpenVSX с общим числом загрузок более 35 800. Через 2 дня червь появился и в официальном каталоге Microsoft VS Code. Пять расширений продолжают распространять вредоносный код. Серверы управления по-прежнему активны, а часть разработчиков, чьи аккаунты были захвачены, пока не смогли вернуть контроль. Так как расширения обновляются автоматически, пользователи получили заражённые версии без уведомлений или подтверждения.
GlassWorm стал вторым после Shai Hulud самораспространяющимся червём в экосистеме разработчиков, но значительно опаснее предшественника благодаря невидимому коду и блокчейн-управлению. Эта кампания показала, насколько легко вредоносное ПО может проникнуть в цепочку поставок программного обеспечения и остаться незамеченным даже опытными специалистами. Специалисты предупреждают, что атака продолжается, а число пострадавших растёт с каждым днём.