Ваш плагин подождет 15 минут, а потом украдет всё. Теперь это реальность вайб-кодеров на macOS
NewsMakerВ популярном магазине расширений Open VSX нашли вредоносные плагины, которые крадут криптовалюту и пароли, теперь под ударом именно macOS.
В магазине расширений Open VSX , которым пользуются миллионы разработчиков, обнаружили новую волну вредоносных расширений. Специалисты Koi предупреждают , что злоумышленники подбрасывают в каталог «полезные» плагины, а на деле они воруют криптовалюту, пароли и другие чувствительные данные, причем теперь атака нацелена только на пользователей macOS.
О находке рассказали специалисты Koi Security. По их данным, это уже четвертая волна самораспространяющегося вредоноса, который они называют GlassWorm . Кампания началась всего около двух с половиной месяцев назад, но уже успела заразить тысячи устройств, пока расширения не удалили из маркетплейса.
Схема работает так. Нападающий публикует на Open VSX расширения, маскирующиеся под инструменты для повышения продуктивности. Open VSX это открытый магазин расширений для Visual Studio Code и множества его форков, включая Cursor, который часто выбирают разработчики, работающие в стиле vibe coding. После установки «расширение» не выдает себя сразу, а выжидает примерно 15 минут. Такая пауза помогает обходить автоматические песочницы, которые обычно анализируют поведение программы всего несколько минут.
Дальше запускается основной код. В новой версии он спрятан внутри JavaScript файла расширения и дополнительно зашифрован. Это отличается от предыдущих вариантов GlassWorm, которые, по словам исследователей, были ориентированы на Windows и использовали другие приемы маскировки. Теперь же авторы явно адаптировали инструмент под macOS и делают ставку на скрытность и устойчивость.
В магазине расширений Open VSX , которым пользуются миллионы разработчиков, обнаружили новую волну вредоносных расширений. Специалисты Koi предупреждают , что злоумышленники подбрасывают в каталог «полезные» плагины, а на деле они воруют криптовалюту, пароли и другие чувствительные данные, причем теперь атака нацелена только на пользователей macOS.
О находке рассказали специалисты Koi Security. По их данным, это уже четвертая волна самораспространяющегося вредоноса, который они называют GlassWorm . Кампания началась всего около двух с половиной месяцев назад, но уже успела заразить тысячи устройств, пока расширения не удалили из маркетплейса.
Схема работает так. Нападающий публикует на Open VSX расширения, маскирующиеся под инструменты для повышения продуктивности. Open VSX это открытый магазин расширений для Visual Studio Code и множества его форков, включая Cursor, который часто выбирают разработчики, работающие в стиле vibe coding. После установки «расширение» не выдает себя сразу, а выжидает примерно 15 минут. Такая пауза помогает обходить автоматические песочницы, которые обычно анализируют поведение программы всего несколько минут.
Дальше запускается основной код. В новой версии он спрятан внутри JavaScript файла расширения и дополнительно зашифрован. Это отличается от предыдущих вариантов GlassWorm, которые, по словам исследователей, были ориентированы на Windows и использовали другие приемы маскировки. Теперь же авторы явно адаптировали инструмент под macOS и делают ставку на скрытность и устойчивость.