Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Sektor Bisnis
  • Malware GlassWorm Kembali Bawa 24 Ekstensi Palsu
  • Sektor Bisnis
  • Sektor Personal

Malware GlassWorm Kembali Bawa 24 Ekstensi Palsu

3 min read
Malware GlassWorm Kembali Bawa 24 Ekstensi Palsu

Image credit: Freepix

Malware GlassWorm Kembali Bawa 24 Ekstensi Palsu – Ancaman serangan rantai pasok yang dikenal sebagai GlassWorm kembali muncul, kali ini menyusup ke marketplace ekstensi populer, yaitu Microsoft Visual Studio Marketplace dan Open VSX.

Penyerang berhasil menanamkan 24 ekstensi berbahaya yang meniru alat dan framework pengembang ternama seperti Flutter, React, Tailwind, Vim, dan Vue.

GlassWorm pertama kali didokumentasikan pada Oktober 2025. Operasi ini dikenal karena menggunakan blockchain Solana untuk komunikasi Command dan Control (C2), serta mencuri kredensial dari npm, Open VSX, GitHub, dan Git.

Tujuannya adalah menguras aset cryptocurrency dari dompet korban dan mengubah mesin pengembang (developer machine) menjadi node yang dikendalikan penyerang untuk aktivitas kriminal lebih lanjut.

Taktik Serangan Rantai Pasok

Aspek paling krusial dari GlassWorm adalah penyalahgunaan kredensial yang dicuri untuk mengkompromikan paket dan ekstensi tambahan, sehingga malware ini menyebar dengan cepat seperti cacing (worm).

Meskipun ada upaya berkelanjutan dari Microsoft dan Open VSX, malware ini muncul kembali untuk kedua kalinya dan teramati menargetkan repositori GitHub.

Pakar keamanan, yang menemukan gelombang terbaru GlassWorm, mencatat bahwa penyerang berupaya membuat ekstensi terlihat dapat dipercaya dengan cara:

  1. Memanipulasi Jumlah Unduhan: Mereka meningkatkan jumlah unduhan secara artifisial.
  2. Penempatan Strategis: Ekstensi palsu ditempatkan menonjol di hasil pencarian, seringkali sangat dekat dengan proyek asli yang mereka tiru.

Tujuan taktik ini jelas: menipu pengembang agar menginstal ekstensi tersebut karena terlihat populer dan sah.

Baca juga: Bahaya Ekstensi Palsu WhatsApp Web

Implant Berbasis Rust

Gelombang serangan terbaru GlassWorm dicirikan oleh penggunaan implant berbasis Rust yang dikemas di dalam ekstensi.

Meskipun masih mengandalkan trik karakter Unicode yang tidak terlihat (invisible Unicode trick) untuk menghindari deteksi, penggunaan Rust menunjukkan peningkatan kecanggihan.

Dalam analisis pada ekstensi palsu “icon-theme-materiall”, ditemukan dua implant Rust yang mampu menargetkan sistem Windows dan macOS:

  • Windows DLL bernama os.node
  • macOS dynamic library bernama darwin.node

Para pakar menjelaskan bahwa kode berbahaya ini disisipkan tepat setelah konteks aktivasi ekstensi terjadi. Penyerang tampaknya mudah memperbarui kode dengan versi berbahaya setelah ekstensi awal disetujui, sehingga mudah menghindari filter keamanan yang ada.

Mekanisme Command dan Control (C2)

Seperti yang diamati pada infeksi GlassWorm sebelumnya, implant ini dirancang untuk:

  1. Mengambil Detail C2 dari Solana: Mengambil detail server C2 dari alamat dompet blockchain Solana yang sudah ditentukan.
  2. Mengunduh Payload: Menggunakan alamat C2 untuk mengunduh payload tahap berikutnya, yaitu file JavaScript terenkripsi.
  3. Rencana Cadangan (Google Calendar): Sebagai cadangan, implant ini juga dapat mem-parsing acara di Google Calendar untuk mengambil alamat C2 baru jika metode Solana gagal.

Dampak dan Peringatan

Total 24 ekstensi berbahaya ini berhasil menyebar di kedua marketplace dalam waktu singkat. Para pakar keamanan memperingatkan bahwa jarang sekali penyerang mempublikasikan lebih dari 20 ekstensi berbahaya di marketplace paling populer dalam waktu satu minggu.

Banyak pengembang dapat dengan mudah tertipu oleh ekstensi ini dan hanya berjarak satu klik dari kompromi, menurut para pakar keamanan.

Serangan ini menyoroti risiko besar dalam ekosistem open-source dan pentingnya pengembang untuk sangat berhati-hati dalam menginstal alat pihak ketiga.

Mempercayai ekstensi hanya berdasarkan jumlah unduhan yang tinggi sudah tidak relevan lagi, terutama karena penyerang kini dapat memanipulasi metrik kepercayaan tersebut.

Baca juga: Puluhan Ekstensi Firefox Ancam Dompet Kripto

Daftar Contoh Ekstensi Palsu yang Diidentifikasi

VS Code Marketplace

  • iconkieftwo.icon-theme-materiall
  • prisma-inc.prisma-studio-assistance (Sudah dihapus per 1 Desember 2025)
  • flutcode.flutter-extension
  • csvmech.csvrainbow
  • codevsce.codelddb-vscode
  • saoudrizvsce.claude-devsce
  • clangdcode.clangd-vsce
  • cweijamysq.sync-settings-vscode
  • bphpburnsus.iconesvscode
  • klustfix.kluster-code-verify
  • vims-vsce.vscode-vim
  • yamlcode.yaml-vscode-extension
  • solblanco.svetle-vsce
  • vsceue.volar-vscode
  • redmat.vscode-quarkus-pro
  • msjsdreact.react-native-vsce

Dan beberapa ekstensi lain yang meniru tools populer (prettier, yaml, clangd).

Open VSX

  • tailwind-nuxt.tailwindcss-for-react
  • flutcode.flutter-extension
  • yamlcode.yaml-vscode-extension
  • vitalik.solidity

Para pengembang disarankan untuk memeriksa ulang daftar ekstensi yang mereka instal dan memastikan mereka hanya mengunduh dari penerbit resmi.

 

 

 

Baca juga: 

  • Ekstensi Browser Bisa Jadi Pintu Masuk Peretas
  • Ratusan Ekstensi Google Chrome Palsu Mengintai Kredensial Anda
  • Ratusan Ribu Ekstensi Browser Bermasalah
  • Ekstensi Chrome Pencuri Password Facebook
  • Varian Baru CryptoMix Tambahkan Ekstensi .Work
  • Locky Kembali dengan Ekstensi Diablo6
  • Trojan Ekstensi Firefox Sabot Instagram
  • Dengan Ekstensi Baru Jaff Datang Membawa Masalah
  • Ekstensi Varian Baru CryptoMix Membingungkan Korban
  • Varian Baru Cerber Gunakan Ekstensi Acak

 

 

 

Sumber berita:

 

WeLiveSecurity

Post navigation

Previous Klien YouTube SmartTube di Android Disusupi Malware
Next Kedok Privasi Telegram

Related Stories

Keylogger dan Panduan Aman Keylogger dan Panduan Aman
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger dan Panduan Aman

February 4, 2026
Ciri-Ciri Email PayPal Palsu Ciri-Ciri Email PayPal Palsu
3 min read
  • Sektor Personal
  • Tips & Tricks

Ciri-Ciri Email PayPal Palsu

February 4, 2026
Tanda-Tanda Perangkat Anak Dimata-matai Tanda-Tanda Perangkat Anak Dimata-matai
3 min read
  • Edukasi
  • Sektor Personal
  • Tips & Tricks

Tanda-Tanda Perangkat Anak Dimata-matai

February 2, 2026

Recent Posts

  • Keylogger dan Panduan Aman
  • Ciri-Ciri Email PayPal Palsu
  • Tanda-Tanda Perangkat Anak Dimata-matai
  • Internal Spearphising Serangan Siber Paling Mengancam
  • Manipulasi Psikologis Siber
  • Melawan Ancaman AI di Dunia Digital
  • Spyware Berkedok Aplikasi Kencan
  • Credential Stuffing Kunci Duplikat Digital Anda
  • Waspada!! LinkedIn Jadi Incaran Spionase Digital
  • 6 Modus Penipuan Apple Pay

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • News Release
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keylogger dan Panduan Aman Keylogger dan Panduan Aman
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger dan Panduan Aman

February 4, 2026
Ciri-Ciri Email PayPal Palsu Ciri-Ciri Email PayPal Palsu
3 min read
  • Sektor Personal
  • Tips & Tricks

Ciri-Ciri Email PayPal Palsu

February 4, 2026
Tanda-Tanda Perangkat Anak Dimata-matai Tanda-Tanda Perangkat Anak Dimata-matai
3 min read
  • Edukasi
  • Sektor Personal
  • Tips & Tricks

Tanda-Tanda Perangkat Anak Dimata-matai

February 2, 2026
Internal Spearphising Serangan Siber Paling Mengancam Internal Spearphising Serangan Siber Paling Mengancam
5 min read
  • Sektor Bisnis
  • Sektor Personal

Internal Spearphising Serangan Siber Paling Mengancam

February 2, 2026

Copyright © All rights reserved. | DarkNews by AF themes.