Waspada Ekstensi Tiruan di Open VSX: 73 Ekstensi Mencurigakan Terhubung dengan Malware GlassWorm
Baca dalam 60 detik
- Sebanyak 73 ekstensi tiruan di Open VSX teridentifikasi sebagai agen potensial malware GlassWorm.
- Ekstensi ini meniru desain dan nama aplikasi populer untuk menipu pengguna agar menginstalnya.
- GlassWorm menargetkan pencurian kredensial pengembang (GitHub, Git, NPM) dan aset kripto.
Socket melaporkan penemuan lebih dari 70 ekstensi mencurigakan di marketplace Open VSX yang diduga kuat merupakan ekstensi "sleeper" terkait malware GlassWorm. Ekstensi ini meniru identitas ekstensi populer untuk membangun kepercayaan sebelum nantinya mengirimkan muatan berbahaya melalui pembaruan di masa mendatang.
Rekam Jejak Malware GlassWorm:
- Oktober 2025: Pertama kali muncul di registry Open VSX dengan kode yang disembunyikan menggunakan pemilih variasi Unicode.
- Infrastruktur C2: Mengandalkan blockchain Solana untuk perintah dan kontrol (command-and-control).
- Tujuan Utama: Mencuri kredensial GitHub, Git, dan NPM, serta informasi sensitif dan mata uang kripto.
- Dampak: Telah menyebar ke berbagai ekosistem perangkat lunak sumber terbuka dan mengompromikan lebih dari 150 repositori pada Maret 2026.
Pola Serangan dan Teknik Penyamaran
Serangan terbaru ini menggunakan pola rekayasa sosial yang canggih dengan meniru daftar ekstensi yang sah secara identik, termasuk ikon, nama, dan deskripsi, namun menggunakan penerbit yang berbeda.
| Indikator Mencurigakan | Detail Temuan Socket |
|---|---|
| Akun Penerbit | Akun GitHub yang baru dibuat dengan repositori bernama string 8 karakter. |
| Metode Pengiriman | Menggunakan biner asli yang disertakan atau mengambil payload dari lokasi jarak jauh (remote). |
| Status Ekstensi | Sebagian besar adalah "sleeper" (tanpa payload awal), namun setidaknya enam telah diaktifkan. |
"Dengan menggeser logika kritis ke luar dari apa yang biasanya dipindai oleh alat keamanan, aktor ancaman meningkatkan kemungkinan untuk menghindari deteksi," tulis laporan dari Socket mengenai strategi GlassWorm.
Evolusi Deteksi
Teknik GlassWorm terus berevolusi; kode sumber ekstensi itu sendiri kini tidak lagi mencerminkan perilaku berbahaya yang sebenarnya akan berjalan di mesin pengguna. Penyerang memanfaatkan jalur pembaruan ekstensi normal untuk menyuntikkan malware setelah berhasil menarik cukup banyak jumlah instalasi melalui penyamaran visual yang meyakinkan.
