Bezpečnosť vývojárskych staníc je opäť pod tlakom. Kampaň GlassWorm, ktorá v roku 2025 otriasla ekosystémom Visual Studio Code, sa vo štvrtej vlne presunula na macOS. Nejde však o bežný malvér. GlassWorm používa samorozširujúci sa mechanizmus, ktorý z kompromitovaného vývojára robí zdroj ďalšieho šírenia.

Útoky na dodávateľský reťazec sa posúvajú. Kým v minulosti bol cieľom často „len“ prienik do firmy, GlassWorm ukazuje modernejší model hrozby: tichý, odolný voči blokovaniu a schopný zneužiť identitu vývojára na ďalšie kompromitácie v komunite aj v internom prostredí.

Viac než len „malvér v plugine“

Väčšina škodlivých doplnkov funguje jednoducho. Nainštalujete ich, ukradnú dáta a tým to končí. GlassWorm však pridáva nebezpečný rozmer automatizovaného šírenia.

Po získaní prístupových tokenov (napríklad GitHub, NPM, Open VSX) ich nevyužíva len na exfiltráciu. Tokeny môže zneužiť na publikovanie kompromitovaných balíkov alebo rozšírení pod identitou obete. Tým zneužíva dôveru v open source ekosystéme, keďže ďalšia kompromitácia neprichádza od „neznámeho útočníka“, ale z účtu reálneho vývojára. Práve tento „worm“ charakter je podľa analytikov kľúčovým prvkom, ktorý robí kampaň takou účinnou.

macOS v hľadáčiku: Ticho a s oneskorením

Podľa analýzy Koi Security sa štvrtá vlna zamerala na používateľov macOS a útočníci zvolili techniky, ktoré majú znížiť šancu odhalenia v automatizovanom testovaní.

• Oneskorené spustenie payloadu: Škodlivý kód sa spúšťa s oneskorením približne 15 minút. To môže stačiť na to, aby prečkal krátke analýzy v automatizovaných sandboxoch.
• Šifrovanie a forma payloadu: Kód je vložený do skompilovaného JavaScriptu a chránený šifrovaním AES-256-CBC.
• Distribučný kanál: Primárnym vektorom je Open VSX registry, alternatíva k Microsoft Marketplace, ktorú využívajú editory ako VSCodium alebo Eclipse Theia.

Identifikované škodlivé rozšírenia

Bezpečnostné analýzy uvádzajú konkrétne balíky, ktoré boli identifikované ako škodlivé. Ak sa nachádzajú vo vašom prostredí, incident vyhodnocujte ako kompromitáciu vývojárskej stanice. Rozšírenia odstráňte, zablokujte ich ďalšiu inštaláciu a okamžite zrotujte tokeny účtov.

studio-velte-distributor.pro-svelte-extension
cudra-production.vsce-prettier-pro
Puccin-development.full-access-catppuccin-pro-extension

Infraštruktúra, ktorú nie je jednoduché odstaviť

Z pohľadu bezpečnosti je dôležitá najmä C2 infraštruktúra. Útočníci sa nespoliehajú na IP adresy či domény, ktoré sa dajú relatívne jednoducho blokovať.

Namiesto toho využívajú Solana blockchain. Riadiace príkazy ukladajú do textových poznámok (memos) v transakciách. Keďže ide o legitímnu prevádzku na verejnom blockchaine, filtrovanie takejto komunikácie je komplikované a často prináša riziko falošných pozitív. Ako záložný kanál sa v analýzach uvádza aj čítanie príkazov z popisov udalostí vo verejných Google Kalendároch.

Ciele: Od repozitárov až po hardvérové peňaženky

GlassWorm cieli na tri oblasti, ktoré spolu zvyšujú dopad incidentu:

1. Identity a repozitáre: Primárne kradne tokeny pre GitHub a NPM, ktoré môžu byť následne zneužité na ďalšie šírenie a kompromitácie v dodávateľskom reťazci.
2. Infraštruktúra a rezidenčné IP adresy: Infikovanú stanicu môže zmeniť na SOCKS proxy alebo do nej nainštalovať skrytý VNC server.
3. Kryptoaktíva: Na macOS sa malvér pokúša detegovať aplikácie pre hardvérové peňaženky (Ledger Live, Trezor Suite) a nahradiť ich trojanizovanými verziami. Cieľom je podhodiť používateľovi falošný softvér, ktorý od neho vyláka citlivé údaje.

Čo to znamená pre firmy

Táto kampaň ďalej oslabuje predstavu, že macOS je „bezpečný prístav“. Útočníci si túto platformu vyberajú preto, že je bežná vo vývojárskych tímoch a často má priamy prístup k repozitárom, tokenom, CI/CD a publikačným kanálom.

Vývojár sa stáva kritickým bodom zlyhania. Stačí jeden neoverený doplnok a útočník môže získať prístup do repozitárov, pipeline a distribučných mechanizmov.

Odporúčania pre prax

Ak chcete minimalizovať riziko, zamerajte sa na tieto opatrenia:

• Audit a allowlist rozšírení: Zaveďte striktnú politiku pre inštaláciu rozšírení. Definujte povolené marketplace a pri Open VSX buďte obzvlášť ostražití voči typosquattingu.
• Hygiena tokenov: Nastavte krátku životnosť tokenov a minimalizujte ich práva podľa princípu least privilege. Pri podozrení na kompromitáciu majte pripravenú rýchlu rotáciu a revokáciu.
• EDR na macOS: Monitorujte perzistenciu v adresároch ~/Library/LaunchAgents/ a sledujte podozrivé procesy spúšťané cez AppleScript (osascript).
• Sieťová viditeľnosť: Ak vaša firma nemá dôvod komunikovať so sieťou Solana, zvážte blokovanie alebo aspoň alertovanie na relevantné RPC endpointy.
• Zníženie rizika publikovania: Zvážte oddelené vývojárske identity a obmedzte, ktoré účty môžu publikovať balíky a kto má prístup k release kľúčom. Cieľom je, aby kompromitácia jedného účtu neznamenala automaticky kompromitáciu distribučných kanálov.

Rýchly checklist pre IT

1. Inventarizácia: Skontrolovať, či sa v prostredí používajú rozšírenia z Open VSX a nastaviť pravidlá pre schvaľovanie vydavateľov.
2. Remediácia: Vyhľadať a odstrániť uvedené rozšírenia (studio-velte, cudra-production, Puccin-development).
3. Rotácia: Zrotovať GitHub a NPM tokeny a skontrolovať posledné publikovania balíkov a release artefaktov.
4. Monitoring: Sprísniť detekciu perzistencie cez LaunchAgents a monitorovať podozrivé použitie osascript.
5. Sieť: Ak Solana nie je biznisová potreba, nastaviť alerting alebo blokovanie relevantných RPC endpointov.