Стремительное развитие открытых платформ разработки стало залогом технологических прорывов, однако недавние события показали, что доверие между создателями кода требует вдумчивой защиты. История с вредоносом GlassWorm ярко иллюстрирует, насколько важно сегодня быть начеку, объединяя коллективные усилия ИТ-сообщества на GitHub, npm, в VSCode и OpenVSX для формирования более устойчивой цифровой экосистемы.
GlassWorm: адаптивный вредонос в центрах современного программирования
Весной 2026 года специалисты во всём мире наблюдают за новой волной активности вредоносного кода под названием GlassWorm. Эта угроза уже затронула не менее 433 репозиториев на GitHub, npm, VSCode и OpenVSX. Необычная изворотливость вредоноса привлекла к себе внимание глобальных исследовательских команд компаний Aikido, Socket, Step Security, а также экспертов OpenSourceMalware.
Первые публичные сведения о GlassWorm появились осенью 2025 г. Преступники сделали ставку на маскировку, применяя невидимые символы Unicode, чтобы запрещённые участки кода с легкостью просачивались через доверительные проверки попытных разработчиков. Основная цель атаки — кража приватных данных разработчиков и информации о криптовалютных кошельках, активно эксплуатирующих сеть Solana.
За относительно короткий срок был пройден путь от инфицирования отдельных Windows-машин до целенаправленных кампаний против macOS. Техника GlassWorm развивалась: от троянизированных версий криптокошельков Trezor и Ledger к вредоносным расширениям OpenVSX, что открыло путь к атакам на разработчиков программного обеспечения для экосистемы macOS.
Самой ударной стала последняя волна заражений: 200 Python-проектов и 151 JS/TS-репозиторий на GitHub, 72 расширения для VSCode и OpenVSX, а также 10 npm-пакетов оказались под угрозой. Эффективность атаки впечатляет — 433 публичных и приватных программных хранилища были скомпрометированы всего за несколько недель.
Разрушение доверия: новые вызовы для open source
Эксплуатация доверительных связей между разработчиками стала главным оружием GlassWorm. Начальным этапом атак были компрометация аккаунтов GitHub и внедрение инфицированных коммитов. Злоумышленники выпустили вредоносные версии пакетов и расширений в npm, VSCode и OpenVSX, тщательно пряча зловред в разделе кода, замаскированном с помощью невидимых Unicode-символов.
GlassWorm обеспечивает себе постоянную связь с управляющим узлом через блокчейн Solana; каждые пять секунд заражённый клиент проверяет наличие новых команд, встроенных в транзакции в виде специальных меток memo. По команде клиента скачивает среду для Node.js и запускает на ней JavaScript-стилер, получая доступ к секретным данным и инфраструктуре разработчика.
На сегодняшний день вредонос может извлекать не только криптовалютные кошельки и сессионные ключи, но также токены доступа, SSH-ключи, конфигурации окружения и даже характеристики самой среды разработки, существенно увеличивая масштабы возможного ущерба.
Масштаб инцидента и характеристики вредоноса
Статистика инфицированных репозиториев поражает: 433 случая заражения в различных языковых и инструментальных сегментах инженерной среды, включая Python, JavaScript, Node.js и расширения для Visual Studio Code. Активность GlassWorm подтверждается серией из 50 обновлений управляющих инструкций на Solana в период с конца ноября 2025 года до марта 2026-го.
Исследования комментируют, что взаимодействие с Solana происходит циклично, а каждая команда позволяет загружать, обновлять и исполнять очередную вредоносную составляющую прямо на машине жертвы. При этом инфраструктура GlassWorm практически не меняется, зловред использует один и тот же бекенд-адрес Solana для управления всеми махинациями.
Помимо упомянутых ранее данных, GlassWorm может оставить след и в структуре файлов домашней директории пользователя. Например, наличие файлов с названием init.json или необъяснимых установок Node.js с именем вида node-v22* может являться индикатором присутствия вредоносной программы в системе.
Обнаружение и предотвращение заражения: советы экспертов
Отдельного внимания заслуживает анализ кода самого вредоноса. Комментарии к стеку функций GlassWorm написаны на русском языке, при этом если вредонос обнаруживает у системы русскоязычную локаль, он отказывается запускаться. Такой подход снижает риск выявления исходного происхождения, однако международное сообщество не спешит делать поспешных выводов относительно того, откуда именно исходила атака.
Эксперт по информационной безопасности Дмитрий Пешков (SEQ) делает акцент на важности не только технических мер, но и совершенствования внутренних политик работы с зависимостями. Пешков убеждён, что лучшая защита — регулярные независимые аудиты сторонних компонентов и детальный контроль за любыми внешними библиотеками, которые интегрируются в проекты.
Исследование Step Security выявило уникальный маркер присутствия GlassWorm в Python- и JavaScript-проектах: последовательность символов lzcdrtfxyqiplpd, которую можно легко найти поиском по репозиториям GitHub. Ещё одним характерным индикатором остаётся файл init.json в домашней папке, а также появление новых подозрительных файлов, например, i.js или произвольных установок Node.js.
Важно дополнительно проверять логи Git, обращая внимание на даты коммитов и неожиданные файлы; эти признаки позволяют своевременно обнаружить внедрение вредоноса даже при сложных формах маскировки.
Актуальный вызов, связанный с GlassWorm, показывает не только уязвимости экосистемы открытого ПО, но и вклад профессионального сообщества в её защиту. Коллективные действия исследовательских групп, разработчиков и специалистов по безопасности позволяют быстро выявлять новые атаки, делиться индикаторами компрометации, совершенствовать процесс проверки пакетов npm, решений на Python и JavaScript, а также расширений для VSCode и OpenVSX.
Прозрачность, обмен знаниями и развитие открытых инструментов мониторинга помогают исследователям выявлять новые версии вредоноса раньше, чем они получают массовое распространение. Это снижает ущерб и позволяет оперативно публиковать исправления, а также разрабатывать рекомендации для всего сообщества.
Инцидент с GlassWorm стал своеобразным катализатором для внедрения лучших практик аудита, мониторинга и просвещения специалистов, что способствует формированию позитивного, защищённого будущего для всех участников разработки открытого ПО.
Рекомендации для будущей безопасности на GitHub, npm, VSCode и других платформах
По итогам анализа инцидента с GlassWorm специалисты рекомендуют соблюдать несколько базовых правил:
Периодически проводить ручную и автоматическую проверку сторонних компонентов, особенно популярных npm-пакетов, расширений для VSCode и форков Python-проектов с GitHub.
Встроить в CI/CD пайплайн проверку на наличие известных индикаторов заражения, таких как последовательность lzcdrtfxyqiplpd, подозрительные файлы init.json и неожиданные инсталляции Node.js в домашнем каталоге.
Внимательно отслеживать историю изменений и коммитов, анализировать лог-файлы на предмет аномалий во времени, авторстве или содержании.
Использовать проверенные базы уязвимостей и подписки на уведомления о компрометации критичных для проектов зависимостей.
И главное — развивать культуру информационной безопасности, где обмен знаниями, коллективный аудит и поиск новых решений становятся нормой для всех участников цифрового пространства. Так ИТ-сообщество сможет не только противостоять угрозам, но и формировать вдохновляющее будущее open source-разработки на мировой сцене.
Мы используем файлы cookie для наилучшего представления нашего сайта. Продолжая просмотр, вы соглашаетесь с их использованием. Подробнее в Политике конфиденциальности.
