HackerNews 编译,转载请注明出处:
2025 年 12 月 30 日消息,黑客已污染数百万开发者常用的 Open VSX 插件市场,植入一款可窃取加密货币、凭证及各类敏感数据的恶意软件,最新一波恶意插件仅针对 macOS 用户发起攻击。
一、恶意攻击浪潮与伪装手段
Koi Security研究人员发出警告,这已是 GlassWorm这款危险的自复制恶意软件出现的第四波攻击,其活跃时长仅两个半月。该恶意软件伪装成实用开发工具潜入 Open VSX 市场,此平台是 Visual Studio Code 及 Cursor 等多款衍生代码编辑器的开源插件市场。
- 攻击演进:该恶意软件于 10 月首次被发现时,主要针对 Windows 系统,而此次新变种则专门锁定苹果 macOS 用户。
- 伪装插件:锦鲤安全在 Open VSX 平台检测到三款恶意插件,下载量已达 5 万次,其中一款伪装成智能代码格式化插件 “Prettier Pro”,另外两款则冒充提升开发效率的工具。
- 攻击动机:研究人员称,黑客专挑 “有鱼的地方下钩”,macOS 是加密货币、Web3 领域及初创企业开发者的常用系统,正是该恶意软件的核心攻击目标群体。
二、玻璃蠕虫 3.0 核心特性与攻击流程
- 技术升级与隐匿设计
- 采用 AES – 256 – CBC 强加密算法,将恶意程序嵌入插件附带的 JavaScript 文件中,区别于前三个针对 Windows 版本依赖不可见 Unicode 字符和 Rust 编译二进制文件的方式。
- 插件安装后,恶意程序会等待 15 分钟再执行恶意代码,以此规避多数 5 分钟后就会超时的自动化沙箱环境检测。
- 借助索拉纳区块链发布含 Base64 编码 URL 的交易备注来控制恶意软件,这种方式难以被摧毁,无域名可供拉黑。
- 窃币与窃密手段
- 检测 Ledger Live、Trezor Suite 等硬件钱包应用,用植入木马的版本替换它们;同时可攻击 MetaMask、Phantom 等 50 多种浏览器插件与桌面钱包。
- 窃取 GitHub 令牌、Git 凭证等以实现自我复制;还会窃取 macOS 钥匙串密码、数据库文件、VPN 配置等敏感数据。
- 顽固攻击特征:第四波攻击沿用此前的基础设施(主控制服务器 IP 为 45.32.151.157),且所有恶意功能均正常运行,研究人员预测第五波攻击大概率会接踵而至。
三、安全警示与应对建议
研究人员指出,攻击者会快速借鉴安全研究成果并更新攻击手段,基于区块链的控制基础设施让传统特征码检测与域名拉黑策略失效。开发者可通过以下方式降低风险:
- 仅从可信来源安装 Open VSX 插件,安装前核查插件开发者背景与用户评价。
- 及时轮换 GitHub、NPM 等平台的令牌,定期备份 SSH 密钥并限制其权限。
- 启用硬件钱包二次验证,定期清理浏览器扩展与桌面钱包中的敏感数据。
- 若发现恶意或存在漏洞的插件,可通过邮箱 openvsx@eclipse – foundation.org向 Open VSX 平台举报。
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文