73 Ekstensi VS Code Palsu Tersebar, Sebarkan Malware GlassWorm v2 Berbahaya

Peneliti keamanan siber baru-baru ini menemukan 73 ekstensi palsu Microsoft Visual Studio Code (VS Code) di repositori Open VSX yang ternyata menjadi bagian dari kampanye pencurian informasi berkelanjutan bernama GlassWorm.

Ekstensi-ekstensi ini merupakan kloning dari ekstensi asli yang sudah ada, dengan enam di antaranya telah dikonfirmasi berbahaya. Sisanya berperan sebagai paket "sleeper" yang tampak tidak berbahaya agar pengguna mau mengunduh dan mempercayainya. Namun, niat jahat baru muncul setelah pembaruan berikutnya dipasang.

Menurut perusahaan keamanan aplikasi Socket yang memantau kampanye ini, semua ekstensi berbahaya tersebut dirilis pada awal bulan April 2026. Sejak 21 Desember 2025, lebih dari 320 artefak terkait telah ditemukan. Berikut adalah daftar enam ekstensi yang dipastikan berbahaya:

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-code-validate
• winnerdomain17.version-lens-tool

Selain itu, paket sleeper menggunakan teknik typosquatting dengan nama hampir sama seperti CEINTL.vscode-language-pack-tr yang dipalsukan menjadi Emotionkyoseparate.turkish-language-pack. Mereka juga menggunakan ikon dan deskripsi yang identik dengan versi asli, sehingga menipu para pengembang yang kurang waspada untuk mengunduhnya.

Visual trust ini merupakan taktik rekayasa sosial yang efektif untuk meningkatkan jumlah pemasangan secara organik sebelum akhirnya paket tersebut digunakan untuk menyebarkan malware.

Kampanye ini menunjukkan evolusi para pelaku yang kini menggunakan paket sleeper dan transitive dependencies agar sulit dideteksi. Mereka juga memanfaatkan dropper berbasis Zig untuk menginstal ekstensi VSIX sekunder yang dihosting di GitHub, yang dapat menginfeksi semua Integrated Development Environments (IDE) di komputer pengembang, termasuk VS Code, Cursor, Windsurf, dan VSCodium.

Ekstensi yang teridentifikasi oleh Socket berfungsi sebagai pemuat yang tampak tidak berbahaya. Namun, ekstensi ini kemudian mengambil payload VSIX dari GitHub dan menginstalnya di seluruh IDE menggunakan perintah "--install-extension".

Tujuan akhir dari serangan ini adalah sama: menjalankan malware yang menghindari sistem Rusia, mencuri data sensitif, menginstal Remote Access Trojan (RAT), dan menyebarkan ekstensi Chromium palsu untuk mencuri kredensial, bookmark, dan informasi penting lainnya.

"Pendekatan ini mencapai hasil yang sama dengan varian berbasis biner, tetapi menjaga logika pengiriman dalam JavaScript yang terobfuscate," ujar perusahaan keamanan Socket. "Ekstensi bertindak sebagai pemuat, sementara payload diambil dan dijalankan setelah aktivasi."

Kejadian ini menyoroti risiko besar yang mengancam rantai pasokan perangkat lunak (software supply chain), khususnya di ekosistem pengembangan perangkat lunak yang sangat bergantung pada ekstensi dan paket pihak ketiga.

Analisis Redaksi

Menurut pandangan redaksi, temuan ini menunjukkan betapa canggihnya metode serangan di dunia pengembangan perangkat lunak saat ini. Pelaku ancaman tidak hanya mengandalkan malware tradisional, tetapi juga memanfaatkan kepercayaan pengguna terhadap ekstensi populer dengan teknik typosquatting dan penyamaran visual. Ini menandakan bahwa pengembang harus semakin waspada dan selektif dalam memasang ekstensi, serta rutin memeriksa pembaruan keamanan.

Selain itu, dengan kemampuan malware ini untuk menginfeksi berbagai IDE sekaligus, dampaknya bisa sangat luas dan berpotensi mengancam keamanan data perusahaan dan proyek pengembangan yang sedang berjalan. Jika tidak segera ditangani, kampanye GlassWorm v2 bisa menjadi preseden berbahaya bagi ekosistem pengembangan perangkat lunak open source dan komersial.

Ke depan, penting bagi platform repositori ekstensi seperti Open VSX dan Microsoft untuk meningkatkan proses validasi dan verifikasi ekstensi. Pengembang dan organisasi juga perlu menerapkan kebijakan keamanan yang ketat, termasuk penggunaan alat deteksi malware dan audit rutin terhadap paket yang digunakan.

Untuk informasi lebih lengkap dan update terbaru seputar keamanan siber dan ancaman malware kunjungi sumber aslinya di The Hacker News dan ikuti berita dari portal terpercaya lainnya.