Campagna GlassWorm Utilizza Zig Dropper per Infettare Diverse IDE per Sviluppatori Un recente allerta nel campo della cybersecurity ha messo in evidenza un'evoluzione preoccupante della campagna GlassWorm, nota per le sue tecniche di attacco sofisticate. Questa volta, i ricercatori hanno…
Campagna GlassWorm Utilizza Zig Dropper per Infettare Diverse IDE per Sviluppatori
Un recente allerta nel campo della cybersecurity ha messo in evidenza un’evoluzione preoccupante della campagna GlassWorm, nota per le sue tecniche di attacco sofisticate. Questa volta, i ricercatori hanno scoperto che un nuovo Zig dropper viene utilizzato per colpire in modo furtivo tutti gli ambienti di sviluppo integrati (IDE) presenti sui computer degli sviluppatori.
La Minaccia Nascosta
Il nuovo attacco è stato rintracciato in un’estensione di Open VSX chiamata “specstudio.code-wakatime-activity-tracker”, che si presenta come uno strumento legittimo per monitorare il tempo speso dai programmatori nei loro IDE. Tuttavia, il suo scopo principale è ben diverso, in quanto l’estensione è stata rimossa dalle piattaforme di download per prevenire ulteriori infezioni. Secondo uno studio condotto dal ricercatore Ilyas Makari di Aikido Security, l’estensione distribuisce un binario nativo compilato in Zig, camuffato da codice JavaScript. Questo approccio non è nuovo per GlassWorm, che ha già sfruttato codice nativo in passato, ma in questa occasione viene utilizzato in modo più subdolo.
Meccanismo di Infezione
Una volta installato, il binario si attiva per cercare ogni IDE compatibile nel sistema, inclusi Microsoft Visual Studio Code, VS Code Insiders e varie alternative come VSCodium e strumenti di programmazione alimentati da intelligenza artificiale come Cursor. L’algoritmo poi scarica un’estensione VS Code malevola chiamata “floktokbok.autoimport” da un account GitHub controllato dagli aggressori. Questa estensione simula un plug-in legittimo, “steoates.autoimport”, che ha ottenuto milioni di installazioni nel Marketplace ufficiale.
Il passaggio finale consiste nell’installare silenziosamente il file .VSIX scaricato su ogni IDE utilizzando il gestore della riga di comando di ciascun editor. Questo passaggio è particolarmente insidioso poiché permette al dropper di evitare l’esecuzione sui sistemi russi, recuperando informazioni sensibili e installando un trojan di accesso remoto (RAT). Quest’ultimo, a sua volta, può installare un’estensione malevola per Google Chrome, aumentando notevolmente il rischio di furto di informazioni.
Rischi per Utenti e Aziende Italiane
Questa minaccia si rivela particolarmente rilevante anche per gli utenti e le aziende italiane. Con una crescente digitalizzazione e un numero sempre maggiore di sviluppatori che utilizzano IDE per il loro lavoro, l’impatto di attacchi come quelli della campagna GlassWorm potrebbe essere devastante. I professionisti del settore sono avvisati: l’installazione di estensioni sconosciute o non verificate può esporre le proprie risorse e dati aziendali a seri rischi.
Cosa Fare Ora
Gli utenti che hanno installato l’estensione “specstudio.code-wakatime-activity-tracker” o “floktokbok.autoimport” sono esortati a considerare il proprio sistema compromesso. È fondamentale ruotare le credenziali di accesso e monitorare eventuali attività sospette. Inoltre, è consigliabile implementare soluzioni di sicurezza robuste, mantenere aggiornati tutti i software utilizzati e prestare attenzione a eventuali segnali di comprometimento nei propri sistemi.
Questa evoluzione nel panorama delle minacce informatiche ci ricorda l’importanza di una vigilanza continua e di una gestione proattiva della sicurezza per proteggere le nostre risorse digitali.
