Kampanye GlassWorm Gunakan Zig Dropper Serang Berbagai IDE Developer

Peneliti keamanan siber kembali menemukan evolusi terbaru dari kampanye GlassWorm yang kini menggunakan Zig dropper untuk menyusup dan menginfeksi berbagai integrated development environments (IDEs) di komputer developer secara tersembunyi.

Modus Operandi Ekstensi Palsu WakaTime

Teknik infeksi ini ditemukan pada sebuah ekstensi Open VSX bernama "specstudio.code-wakatime-activity-tracker", yang menyamar sebagai WakaTime, sebuah alat populer untuk mengukur waktu yang dihabiskan programmer dalam IDE. Ekstensi ini kini sudah tidak tersedia untuk diunduh.

"Ekstensi ini mengirimkan sebuah binary native yang dikompilasi dengan bahasa Zig di samping kode JavaScript-nya," kata peneliti dari Aikido Security, Ilyas Makari, dalam analisis yang dipublikasikan pekan ini.

"Ini bukan kali pertama GlassWorm menggunakan kode native yang dikompilasi dalam ekstensi. Namun kali ini, binary tersebut bukan payload langsung, melainkan sebagai jalur tersembunyi untuk dropper GlassWorm yang kini diam-diam menginfeksi semua IDE lain yang ditemukan di sistem Anda."

Cara Kerja Dropper dan Penyebaran Malware

Ekstensi Visual Studio Code (VS Code) yang teridentifikasi ini sangat mirip dengan WakaTime asli, kecuali ada perubahan pada fungsi activate(). Ekstensi ini memasang binary bernama win.node untuk sistem Windows dan mac.node untuk macOS, yang merupakan binary universal Mach-O.

Binary ini adalah addon native Node.js yang dibuat dengan bahasa Zig dan berjalan langsung di runtime Node, sehingga dapat mengakses sistem operasi secara penuh tanpa batasan sandbox JavaScript.

Setelah dijalankan, binary ini mencari semua IDE yang mendukung ekstensi VS Code di sistem komputer, termasuk Microsoft VS Code, VS Code Insiders, serta fork seperti VSCodium, Positron, dan berbagai alat pemrograman bertenaga AI seperti Cursor dan Windsurf.

Selanjutnya, binary mengunduh ekstensi VS Code berbahaya berformat .VSIX dari akun GitHub yang dikontrol penyerang. Ekstensi ini bernama "floktokbok.autoimport", yang meniru ekstensi asli "steoates.autoimport" yang memiliki lebih dari 5 juta instalasi di Visual Studio Marketplace resmi.

Ekstensi berbahaya tersebut kemudian disimpan di jalur sementara dan dipasang secara diam-diam ke semua IDE menggunakan installer baris perintah (CLI) masing-masing editor.

Tujuan Akhir dan Dampak Serangan

Ekstensi VS Code tahap kedua ini berperan sebagai dropper yang:

• Hindari eksekusi di sistem dengan lokasi Rusia
• Berkomunikasi dengan blockchain Solana untuk mendapatkan server command-and-control (C2)
• Mengekstraksi data sensitif pengguna
• Memasang remote access trojan (RAT)
• Mendistribusikan ekstensi Google Chrome berbahaya untuk mencuri informasi

Para pengguna yang pernah memasang "specstudio.code-wakatime-activity-tracker" atau "floktokbok.autoimport" sangat disarankan untuk menganggap sistem mereka telah terkompromi dan segera melakukan rotasi semua kredensial dan rahasia (secrets) yang digunakan.

Analisis Redaksi

Menurut pandangan redaksi, kampanye GlassWorm ini menunjukkan tingkat kompleksitas dan kecanggihan yang semakin meningkat dalam serangan siber yang menargetkan ekosistem pengembangan perangkat lunak. Dropper yang menggunakan bahasa Zig sebagai perantara native code menandai sebuah game-changer dalam teknik penyembunyian malware, yang membuat deteksi dan mitigasi menjadi lebih sulit.

Kemampuan untuk menyusup ke berbagai IDE populer dan bahkan alat-alat pengembangan berbasis AI memperlihatkan bagaimana para pelaku kejahatan siber semakin memahami dan mengeksploitasi ekosistem developer. Ini bukan hanya ancaman bagi individu, tapi juga potensi risiko besar terhadap rantai pasokan perangkat lunak (software supply chain) yang dapat berdampak luas pada industri teknologi.

Ke depan, penting bagi komunitas developer dan organisasi untuk meningkatkan kewaspadaan, memperkuat sistem keamanan pada lingkungan pengembangan, serta rutin melakukan audit dan rotasi kredensial agar tidak menjadi korban serangan yang terus berevolusi seperti ini. Informasi lebih lengkap bisa ditemukan di laporan asli The Hacker News serta berita terbaru dari CNN Indonesia Teknologi.

Jangan abaikan tanda-tanda infeksi dan selalu perbarui ekstensi serta perangkat lunak pengembangan Anda secara berkala. Keamanan ekosistem pengembangan adalah kunci untuk menjaga integritas dan kerahasiaan data sensitif di era digital saat ini.