Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Witold Kepinski - 23 oktober 2025

Beveiligingsalarm: 'GlassWorm' worm slaat toe op OpenVSX

Beveiligingsonderzoekers van Koi Security hebben de ontdekking gemeld van een uiterst geavanceerde 'supply chain'-aanval, genaamd 'GlassWorm'. Dit is de eerste zelfverspreidende worm die specifiek gericht is op VS Code-extensies op de OpenVSX Marketplace. Wat deze aanval zo gevaarlijk maakt, is het gebruik van een ongeziene stealth-techniek: de kwaadaardige code wordt onzichtbaar gemaakt met behulp van onafdrukbare Unicode-tekens.

Security Cybercrime Cybersecurity
Beveiligingsalarm: 'GlassWorm' worm slaat toe op OpenVSX image

GlassWorm combineert deze 'onzichtbare code'-techniek met een onverwoestbare infrastructuur en verandert geïnfecteerde ontwikkelaarsmachines in criminele proxyknooppunten. De aanval is momenteel actief en heeft volgens Koi Security al tienduizenden installaties geïnfecteerd.

De onzichtbare dreiging: Unicode Stealth

Het meest verontrustende aspect van GlassWorm is de methode van code-injectie. De aanvallers gebruiken Unicode variatie-selectoren — speciale tekens die deel uitmaken van de Unicode-specificatie maar geen visuele output produceren.

Voor een ontwikkelaar die de broncode in een editor bekijkt, lijken de kwaadaardige regels op lege spaties of witregels. Zelfs de 'diff view' van platformen zoals GitHub en statische analyseprogramma's detecteren niets verdachts. Echter, voor de JavaScript-interpreter is het perfect uitvoerbare code.

"De malware is onzichtbaar. Niet geobfusceerd. Niet verborgen in een geminificeerd bestand. Werkelijk onzichtbaar voor het menselijk oog," aldus Koi Security. Deze techniek omzeilt alle traditionele codebeoordelingsprocessen en ondermijnt de basisveiligheidsveronderstelling dat mensen code handmatig kunnen controleren.

De onneembare commandostructuur (C2)

Naast de onzichtbare code-injectie, gebruikt GlassWorm een drielaags Command & Control (C2)-infrastructuur die bijna onmogelijk uit de lucht te halen is:

  1. Primaire C2: Solana Blockchain: De malware gebruikt de Solana-blockchain om de locatie van de volgende payload op te halen. Door transacties van een hard-gecodeerd wallet-adres te monitoren, leest de worm het 'memo'-veld van de transactie – een onveranderlijke en decentrale plek op de blockchain. Dit maakt de C2-server immuun voor takedown-verzoeken, domeinbeslag of blokkering door hostingproviders.
  2. Backup C2: Google Calendar: Als een back-upmechanisme gebruikt de worm een link naar een openbaar Google Agenda-evenement. De titel van dit evenement bevat een base64-gecodeerde URL naar een versleutelde payload. Door gebruik te maken van een legitieme service zoals Google, omzeilt de malware eenvoudig beveiligingscontroles.
  3. Direct IP: De C2-structuur wordt aangevuld met een directe IP-verbinding die dynamische, versleutelde payloads levert.

ZOMBI: van werkstation tot crimineel knooppunt

De uiteindelijke payload, door de aanvallers zelf de "ZOMBI"-module genoemd, is een volledig functionele Remote Access Trojan (RAT) die ontwikkelaarsmachines verandert in knooppunten van een crimineel netwerk.

Wat de ZOMBI-module doet, is verwoestend voor bedrijven:

  • SOCKS Proxy Server: De geïnfecteerde werkstations worden omgevormd tot SOCKS-proxyservers, waardoor aanvallers hun verkeer door de interne bedrijfsnetwerken kunnen routeren en firewalls kunnen omzeilen.
  • Verborgen VNC (HVNC): De aanvallers krijgen volledige, onzichtbare externe desktoptoegang. Dit gebeurt via een virtuele desktop die niet zichtbaar is op het scherm van de gebruiker en niet wordt weergegeven in de Taakbeheerder. De aanvaller kan hierdoor ongemerkt inloggegevens stelen, broncode inzien en toegang krijgen tot interne systemen.
  • Decentrale Distributie: ZOMBI maakt gebruik van BitTorrent’s Distributed Hash Table (DHT) en WebRTC P2P-communicatie, waardoor de commandodistributie niet kan worden gecentraliseerd of uitgeschakeld.

Zelfverspreiding en crypto-diefstal

GlassWorm verdient zijn naam als 'worm' door de gestolen inloggegevens te gebruiken voor verdere verspreiding. De malware is actief bezig met het stelen van:

  • NPM- en GitHub-tokens
  • Git- en OpenVSX-inloggegevens
  • Cryptocurrency wallet-extensies (waaronder MetaMask, Phantom en Coinbase Wallet)

Met deze gestolen tokens en inloggegevens compromitteert de worm automatisch meer pakketten en extensies, waardoor een cyclus van exponentiële groei in het software-ecosysteem ontstaat.

Volgens Koi Security waren op 18 oktober 2025 al zeven OpenVSX-extensies gecompromitteerd, met een totaal van 35.800 downloads. Omdat VS Code-extensies automatisch updaten, werden gebruikers van populaire tools zoals CodeJoy onmiddellijk en zonder waarschuwing geïnfecteerd.

Bedrijven wordt aangeraden onmiddellijk alle OpenVSX-extensies op hun ontwikkelaarswerkstations te controleren en te scannen op ongebruikelijke netwerkactiviteit. De aanval is actief en de aanvallers gebruiken de gestolen inloggegevens momenteel om nog meer schade aan te richten.

Semperis BW + BN EY BW + BN

Dutch IT events

Event icon

Event

Dutch IT Security Day op 18 juni 2025

Event icon

Event

Eurofiber You're on Stage Academy 2025

Alle events
Gartner BN tm 12-11-2025 - 1

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Bestuurder, Editor-in-Chief en Director Content van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.