Glassworm malware returns in third wave of malicious VS Code packages

2 minute de lecture

Mis à jour : December 02, 2025

Nouvelle vague du malware Glassworm : Les extensions VS Code ciblées

Une campagne malveillante, baptisée Glassworm, a ressurgi pour une troisième fois via des paquets compromis sur les places de marché OpenVSX et Microsoft Visual Studio. Ces plateformes sont utilisées par les développeurs pour ajouter des fonctionnalités à VS Code.

Le malware utilise des techniques furtives, notamment des caractères Unicode invisibles pour masquer son code, afin d’éviter la détection lors des revues. Une fois installé, Glassworm vise à voler des identifiants (GitHub, npm, OpenVSX) et des données de portefeuilles de cryptomonnaies. Il déploie également un proxy SOCKS et un client HVNC pour établir un accès à distance discret et rediriger le trafic malveillant.

Les nouvelles extensions compromises impersonnent des outils et frameworks populaires tels que Flutter, Vim, Tailwind, React Native, et Vue. Les auteurs gonflent artificiellement les nombres de téléchargements pour simuler la légitimité et manipuler les résultats de recherche, plaçant les extensions malveillantes près des projets légitimes qu’elles imitent. La partie technique a évolué, utilisant désormais des implants basés sur Rust, bien que la technique des caractères Unicode invisibles soit toujours employée.

Points clés :

Le malware Glassworm cible les extensions de VS Code sur les places de marché OpenVSX et Microsoft.
Il utilise des caractères Unicode invisibles pour se dissimuler.
Il cherche à voler des identifiants et des cryptomonnaies.
Il établit un accès à distance furtif et redirige le trafic.
La troisième vague utilise des paquets usurpant l’identité d’outils de développement populaires.
Les auteurs gonflent les compteurs de téléchargements pour tromper les utilisateurs et manipuler les recherches.
Les implants malveillants sont désormais basés sur Rust.

Vulnérabilités : Aucune vulnérabilité spécifique avec un identifiant CVE n’est détaillée dans l’article pour cette campagne. Les vulnérabilités exploitées résident dans le processus de validation et de confiance des extensions sur les places de marché, ainsi que dans la naïveté des développeurs.

Recommandations :

Vigilance accrue lors de l’installation de nouvelles extensions, en particulier celles portant des noms similaires à des outils populaires.
Vérifier attentivement les éditeurs et les historiques des extensions avant toute installation.
Privilégier les sources officielles et réputées pour l’installation d’extensions.
Maintenir à jour les environnements de développement et les outils de sécurité.
Examiner les permissions demandées par les extensions.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Glassworm malware returns in third wave of malicious VS Code packages

Nouvelle vague du malware Glassworm : Les extensions VS Code ciblées

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast