{ "@context": "https://schema.org", "@type": "NewsArticle", "headline": "Malware verspreidt zich via populaire VS Code-extensies", "description": "Het artikel bespreekt de verspreiding van malware via besmette VS Code-extensies en de genomen beveiligingsmaatregelen.", "articleBody": "Update 6 november: Het beveiligingslek is inmiddels verholpen. Sinds 21 oktober is het incident volledig onder controle, aldus het Open VSX-team. Er zijn diverse verbeteringen doorgevoerd. Zo zijn de levensduur van tokens verkort om mogelijke lekken te voorkomen. Ook is het intrekken van tokens nu sneller en eenvoudiger dankzij verbeterde interne processen. Voortaan wordt er een beveiligingsscan uitgevoerd bij het publiceren van extensies. Andere marktplaatsen zijn ingeschakeld om informatie te delen over risicobeperking. Onderzoek door Wiz bracht het Open VSX-team op de hoogte, gevolgd door een rapport van Koi Security. Oorspronkelijk bericht, 22 oktober: Een nieuwe cyberdreiging treft wereldwijd ontwikkelaars die Visual Studio Code gebruiken. Onderzoekers van Koi Security ontdekten een aanval genaamd GlassWorm, die zich via besmette VS Code-extensies verspreidt. Het is de eerste aanval die onzichtbare Unicode-tekens gebruikt, waardoor kwaadaardige code onzichtbaar is voor ontwikkelaars en beveiligingstools. De aanval begon op de OpenVSX Marketplace, een open-source alternatief voor Microsofts extensiemarkt. Een populaire extensie, CodeJoy, bleek besmet in versie 1.8.3. De malware verborg zich tussen de reguliere code, maar door speciale Unicode-tekens leek alles normaal. Zelfs handmatige inspectie toonde geen afwijkingen. Deze techniek ondermijnt het idee dat menselijke codecontrole voldoende is om kwaadaardige toevoegingen te ontdekken. GlassWorm gaat verder dan een traditionele supply-chain-aanval door de Solana-blockchain te gebruiken als command-and-control infrastructuur. In plaats van een centrale server, leest de worm gegevens uit het memo-veld van Solana-transacties, wat de communicatie permanent, anoniem en onblokkeerbaar maakt. Als back-upmechanisme gebruikt de aanvaller een Google Calendar-event met een versleutelde link naar nieuwe instructies. Hierdoor blijft het netwerk actief, zelfs als onderdelen worden verwijderd. Koi Security ontdekte dat de worm zich niet alleen via OpenVSX, maar ook via npm en GitHub verspreidt, meldt Heise. GlassWorm gebruikt gestolen authenticatietokens om kwaadaardige pakketten te publiceren en legitieme repositories te compromitteren. Dit creëert een zelfversterkend ecosysteem waarin elke geïnfecteerde ontwikkelaar onbedoeld helpt bij verdere verspreiding. De laatste fase van de aanval, de Zombi-module, installeert een remote access trojan die de getroffen computer verandert in een SOCKS-proxyserver. De besturing verloopt via peer-to-peerverbindingen met WebRTC, terwijl commando’s worden uitgewisseld via het BitTorrent-netwerk. Dit resulteert in een volledig gedistribueerde infrastructuur zonder centraal aanstuurpunt. Koi Security meldt dat minstens zeven extensies op 17 oktober besmet raakten en dat inmiddels ook één geïnfecteerde extensie op Microsofts officiële VS Code Marketplace is opgedoken. In totaal zijn ongeveer 35.800 installaties getroffen. Omdat VS Code-extensies automatisch updaten, kunnen gebruikers ongemerkt slachtoffer worden zonder iets te installeren of te bevestigen. Volgens Infoworld is dit niet het eerste incident van dit type. Vorige maand werd in de open source NPM-repository een vergelijkbare worm ontdekt, en recent werden ook andere campagnes zoals de TigerJack-aanval op VS Code-extensies blootgelegd. De verspreiding van GlassWorm past in een bredere trend waarbij kwaadwillenden marktplaatsen voor ontwikkeltools gebruiken als ingang voor supply-chain-aanvallen. Beveiligingsexperts waarschuwen dat organisaties dit als een onmiddellijk beveiligingsincident moeten behandelen. Chief information security officers wordt geadviseerd hun incidentresponsproces te starten, te inventariseren welke extensies in gebruik zijn en verdachte processen te monitoren. Vooral ontwikkelaarsomgevingen gelden als risicovol, omdat extensies in VS Code volledige toegang tot systeem- en netwerkbronnen hebben.", "datePublished": "2025-11-06T15:30:32.000Z", "dateModified": "2025-11-06T00:00:00.000Z", "mainEntityOfPage": { "@type": "WebPage", "@id": "/nieuws/nieuwsfeed/item/malware-verspreidt-zich-via-populaire-vs-code-extensies/r/recvIWFMpbhc6Qav1" }, "isBasedOn": { "@type": "CreativeWork", "@id": "https://www.techzine.nl/nieuws/security/570984/onzichtbare-malware-verspreidde-zich-via-vs-code-extensies/" }, "publisher": { "@type": "Organization", "name": "IBgidsNL", "url": "https://ibgids.nl" }, "author": { "@type": "Organization", "name": "IBgidsNL", "url": "https://ibgids.nl" }, "image": "https://v5.airtableusercontent.com/v3/u/47/47/1762452000000/Z2TlzynFudEEShfniBzroA/wWpShmDTDDz3_JC1oiBrUEV89aMyMjRa6LmFBu43TPbN_dwB3RGxH5YPRMlP55S4l2_ErEnGFikkYE_QX59AzesVVIp8d9GyviIw_cMhqzYi19XxjI-0fGjV0zfK-7LK61uWhn78sZUzX5cNb-2Bnw/46UKz964LO1Mr6BG-X9LGr-KBtyloOSTDS1DQv8KEFs" }