Кампания Glassworm вернулась с десятками вредоносных пакетов в магазинах расширений VS Code и Visual Studio, которые эксфильтрируют токены, учетные данные и исходный код. Командам по безопасности настоятельно рекомендуется блокировать неутвержденные расширения, проводить сканирование цепочки поставок и отслеживать токены CI/CD и репозиториев на предмет аномального использования.

Команды по обеспечению безопасности наблюдают возрождение кампании Glassworm, которая распространяет вредоносные пакеты, замаскированные под легитимные инструменты и утилиты для разработчиков в маркетплейсах расширений Visual Studio и VS Code. Вредоносные расширения разработаны для сбора токенов разработчиков, API‑ключей, учётных данных систем контроля версий и исходного кода, создавая скрытый путь латерального проникновения в системы сборки, CI/CD‑конвейеры и внутренние репозитории. Имея доступ к токенам и учётным данным, злоумышленники могут модифицировать артефакты сборки, встраивать вредоносные зависимости или вывозить интеллектуальную собственность и конфиденциальные конфигурации. Кампания представляет собой целевую угрозу цепочки поставок, эксплуатирующую доверие разработчиков к маркетплейсам расширений и повышенные привилегии, которые часто имеют команды инструментов для разработчиков. Рекомендуемые меры защиты включают применение политик белых списков для расширений, интеграцию сканирования цепочки поставок в CI‑рабочие процессы, ротацию токенов и секретов, хранимых на машинах разработчиков, а также мониторинг использования токенов и активности в репозиториях на предмет аномалий. Инцидент‑реагирующие также советуют немедленно аннулировать скомпрометированные токены, провести судебно‑технический анализ журналов сборки и координированное раскрытие информации, если могут быть затронуты сторонние кодовые базы или клиенты.