Malware GlassWorm Kembali Bawa 24 Ekstensi Palsu

Malware GlassWorm Kembali Bawa 24 Ekstensi Palsu – Ancaman serangan rantai pasok yang dikenal sebagai GlassWorm kembali muncul, kali ini menyusup ke marketplace ekstensi populer, yaitu Microsoft Visual Studio Marketplace dan Open VSX.

Penyerang berhasil menanamkan 24 ekstensi berbahaya yang meniru alat dan framework pengembang ternama seperti Flutter, React, Tailwind, Vim, dan Vue.

GlassWorm pertama kali didokumentasikan pada Oktober 2025. Operasi ini dikenal karena menggunakan blockchain Solana untuk komunikasi Command dan Control (C2), serta mencuri kredensial dari npm, Open VSX, GitHub, dan Git.

Tujuannya adalah menguras aset cryptocurrency dari dompet korban dan mengubah mesin pengembang (developer machine) menjadi node yang dikendalikan penyerang untuk aktivitas kriminal lebih lanjut.

Taktik Serangan Rantai Pasok

Aspek paling krusial dari GlassWorm adalah penyalahgunaan kredensial yang dicuri untuk mengkompromikan paket dan ekstensi tambahan, sehingga malware ini menyebar dengan cepat seperti cacing (worm).

Meskipun ada upaya berkelanjutan dari Microsoft dan Open VSX, malware ini muncul kembali untuk kedua kalinya dan teramati menargetkan repositori GitHub.

Pakar keamanan, yang menemukan gelombang terbaru GlassWorm, mencatat bahwa penyerang berupaya membuat ekstensi terlihat dapat dipercaya dengan cara:

Memanipulasi Jumlah Unduhan: Mereka meningkatkan jumlah unduhan secara artifisial.
Penempatan Strategis: Ekstensi palsu ditempatkan menonjol di hasil pencarian, seringkali sangat dekat dengan proyek asli yang mereka tiru.

Tujuan taktik ini jelas: menipu pengembang agar menginstal ekstensi tersebut karena terlihat populer dan sah.

Implant Berbasis Rust

Gelombang serangan terbaru GlassWorm dicirikan oleh penggunaan implant berbasis Rust yang dikemas di dalam ekstensi.

Meskipun masih mengandalkan trik karakter Unicode yang tidak terlihat (invisible Unicode trick) untuk menghindari deteksi, penggunaan Rust menunjukkan peningkatan kecanggihan.

Dalam analisis pada ekstensi palsu “icon-theme-materiall”, ditemukan dua implant Rust yang mampu menargetkan sistem Windows dan macOS:

Windows DLL bernama os.node
macOS dynamic library bernama darwin.node

Para pakar menjelaskan bahwa kode berbahaya ini disisipkan tepat setelah konteks aktivasi ekstensi terjadi. Penyerang tampaknya mudah memperbarui kode dengan versi berbahaya setelah ekstensi awal disetujui, sehingga mudah menghindari filter keamanan yang ada.

Mekanisme Command dan Control (C2)

Seperti yang diamati pada infeksi GlassWorm sebelumnya, implant ini dirancang untuk:

Mengambil Detail C2 dari Solana: Mengambil detail server C2 dari alamat dompet blockchain Solana yang sudah ditentukan.
Mengunduh Payload: Menggunakan alamat C2 untuk mengunduh payload tahap berikutnya, yaitu file JavaScript terenkripsi.
Rencana Cadangan (Google Calendar): Sebagai cadangan, implant ini juga dapat mem-parsing acara di Google Calendar untuk mengambil alamat C2 baru jika metode Solana gagal.

Dampak dan Peringatan

Total 24 ekstensi berbahaya ini berhasil menyebar di kedua marketplace dalam waktu singkat. Para pakar keamanan memperingatkan bahwa jarang sekali penyerang mempublikasikan lebih dari 20 ekstensi berbahaya di marketplace paling populer dalam waktu satu minggu.

Banyak pengembang dapat dengan mudah tertipu oleh ekstensi ini dan hanya berjarak satu klik dari kompromi, menurut para pakar keamanan.

Serangan ini menyoroti risiko besar dalam ekosistem open-source dan pentingnya pengembang untuk sangat berhati-hati dalam menginstal alat pihak ketiga.

Mempercayai ekstensi hanya berdasarkan jumlah unduhan yang tinggi sudah tidak relevan lagi, terutama karena penyerang kini dapat memanipulasi metrik kepercayaan tersebut.