HackerNews

HackerNews
GlassWorm 供应链攻击滥用 72 个 Open VSX 扩展瞄准开发者

GlassWorm 供应链攻击滥用 72 个 Open VSX 扩展瞄准开发者

作者: hackernews 日期: 2026-03-16 分类: 恶意代码, 网络安全
给文章评分:

HackerNews 编译,转载请注明出处:

网络安全研究人员已标记出 GlassWorm 攻击活动的新变体,称其在通过 Open VSX 注册表传播的方式上出现 “显著升级”。
Socket 公司在周五发布的一份报告中称:“威胁行为者不再要求每个恶意插件直接嵌入加载程序,而是滥用 extensionPack(扩展包)和 extensionDependencies(扩展依赖项),在后续更新中将最初看似独立的扩展转变为间接传播工具,使得一个看似良性的软件包在建立信任后,才开始引入与 GlassWorm 相关的单独扩展。”
这家软件供应链安全公司表示,自 2026 年 1 月 31 日以来,他们发现至少还有 72 个针对开发者的恶意 Open VSX 扩展。这些扩展模仿广泛使用的开发者工具,包括代码检查器和格式化工具、代码运行器,以及诸如 Clade Code 和 Google Antigravity 等人工智能驱动的代码辅助工具。
以下是部分扩展的名称。此后,Open VSX 已采取措施将它们从注册表中移除:
  • angular-studio.ng - angular - extension
  • crotoapp.vscode - xml - extension
  • gvotcha.claude - code - extension
  • mswincx.antigravity - cockpit
  • tamokill12.foundry - pdf - extension
  • turbobase.sql - turbo - tool
  • vce - brendan - studio - eich.js - debuger - vscode

GlassWorm 是一场持续的恶意软件攻击活动,它多次通过恶意扩展渗透微软 Visual Studio Marketplace 和 Open VSX,这些恶意扩展旨在窃取机密信息、掏空加密货币钱包,并将受感染的系统用作其他犯罪活动的代理。
网络安全方面,虽然该活动于 2025 年 10 月首次被 Koi Security 标记,但早在 2025 年 3 月就已发现使用相同策略的 npm 包,特别是使用不可见的 Unicode 字符来隐藏恶意代码。
最新变体保留了与 GlassWorm 相关的许多特征:进行检查以避免感染俄罗斯区域设置的系统,并使用 Solana 交易作为一种隐秘通信方式来获取命令与控制(C2)服务器,以提高弹性。
但这组新的扩展还具有更强的混淆性,轮换 Solana 钱包以逃避检测,并且滥用扩展关系来部署恶意有效载荷,类似于 npm 包依赖恶意依赖项以躲避检测。无论一个扩展在其 “package.json” 文件中被声明为 “extensionPack” 还是 “extensionDependencies”,编辑器都会继续安装其中列出的所有其他扩展。
通过这种方式,GlassWorm 攻击活动使用一个扩展作为另一个恶意扩展的安装程序。这也开启了新的供应链攻击场景,攻击者首先将一个完全无害的 VS Code 扩展上传到市场以绕过审核,之后更新该扩展,将与 GlassWorm 相关的软件包列为依赖项。
Socket 公司称:“结果是,一个在最初发布时看似非传递性且相对良性的扩展,随后可以在不改变其表面用途的情况下,成为一个传递 GlassWorm 的工具。”
在一份同期发布的公告中,Aikido 将 GlassWorm 威胁行为者归因于一场在开源存储库中传播的大规模攻击活动,攻击者向各种存储库注入不可见的 Unicode 字符来编码有效载荷。虽然当内容加载到代码编辑器和终端中时不可见,但解码后会得到一个加载程序,该加载程序负责获取并执行一个第二阶段脚本,以窃取令牌、凭证和机密信息。
据估计,在 2026 年 3 月 3 日至 3 月 9 日期间,作为该活动一部分,不少于 151 个 GitHub 存储库受到影响。此外,相同的 Unicode 技术已被部署在两个不同的 npm 包中,这表明这是一次有协调的多平台攻击:
  • @aifabrix/miso - client
  • @iflow - mcp/watercrawl - watercrawl - mcp

安全研究员伊利亚斯・马卡里(Ilyas Makari)表示:“恶意注入并非出现在明显可疑的提交中。周围的更改很真实:文档调整、版本升级、小的重构以及与每个目标项目风格一致的错误修复。这种针对特定项目的定制程度强烈表明,攻击者正在使用大语言模型来生成令人信服的掩护提交。”

PhantomRaven 还是研究实验?

与此同时,Endor Labs 表示,他们发现从 2025 年 11 月到 2026 年 2 月,分三波通过 50 个一次性账户上传了 88 个新的恶意 npm 包。这些包具备从受感染机器上窃取敏感信息的功能,包括环境变量、CI/CD 令牌和系统元数据。

该活动因使用远程动态依赖项(RDD)而引人注目,在这种情况下,“package.json” 元数据文件在自定义 HTTP URL 指定依赖项,从而使操作者能够动态修改恶意代码并绕过检查。
在网络安全领域,虽然这些包最初被认定为 PhantomRaven 攻击活动的一部分,但这家应用安全公司在一次更新中指出,它们是一名安全研究人员作为合法实验的一部分制作的 —— 但 Endor Labs 对此说法提出质疑,并列举了三个警示信号。其中包括这些库收集的信息远超必要范围、对用户不透明,以及由故意轮换的账户名和电子邮件地址发布。
截至 2026 年 3 月 12 日,这些包的所有者已进行了更多更改,将在这三个月期间发布的一些 npm 包中用于收集数据的有效载荷替换为简单的 “Hello, world!” 消息。
Endor Labs 表示:“虽然移除收集大量信息的代码当然值得欢迎,但这也凸显了与 URL 依赖相关的风险。当软件包依赖托管在 npm 注册表之外的代码时,作者无需发布新的软件包版本就能完全控制有效载荷。通过修改服务器上的单个文件 —— 或者仅仅关闭它 —— 他们可以立即无声地更改或禁用每个依赖包的行为。”

消息来源:thehackernews.com

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文