12 月 2 日消息,科技媒体 bleepingcomputer 昨日(12 月 1 日)发布博文,Glassworm 恶意软件针对 VS Code 插件生态发起第三波攻击,在 Microsoft Visual Studio Marketplace 和 OpenVSX 两大平台上投放了 24 个新增恶意扩展包。
曾于 10 月初报道,攻击者利用“隐形 Unicode 字符”逃避代码审查,伪装成 Flutter、Vim 等热门开发工具,并通过人为刷高下载量混淆视听。
在攻击机制上,Glassworm 展现出极高的危险性。一旦开发者误装这些扩展,恶意软件便会立即运行,窃取受害者的 GitHub、npm 和 OpenVSX 账户凭证,并扫描盗取加密货币钱包数据。
更为严重的是,攻击者会在受害者机器上部署 SOCKS 代理实现路由恶意流量,并安装 HVNC(隐藏虚拟网络计算)客户端。这让攻击者能够绕过常规监控,隐蔽地远程访问受害者计算机,从而进行更深层次的渗透或破坏。
为了躲避安全审查与用户警觉,Glassworm 采用了多重伪装战术。在技术层面,它继续使用“隐形 Unicode 字符”将恶意代码隐藏在看似正常的源码中,同时在第三波攻击中引入了 Rust 语言编写的植入程序,进一步增加了分析难度。
在运营层面,攻击者通常在扩展包上架并通过审核后,才推送包含恶意代码的更新。随后,他们会人为刷高下载量,让恶意扩展在搜索结果中排位靠前,甚至紧邻其模仿的正规项目,极具欺骗性。
第三波攻击由安全机构 Secure Annex 的研究员 John Tuckner 发现,他分析指出攻击者的目标范围非常广泛,涵盖了 Flutter、Vim、Yaml、Tailwind、Svelte、React Native 和 Vue 等主流开发框架与工具。
被曝光的恶意包名称极具迷惑性,如 icon-theme-materiall(模仿材质图标主题)、prettier-vsc(模仿代码格式化工具)等,这种“李鬼”式的命名策略,利用了开发者在搜索安装时的惯性,极易导致误下载。
IT之家附上 VS Marketplace 上恶意包名称如下:
iconkieftwo.icon-theme-materiall
prisma-inc.prisma-studio-assistance
prettier-vsc.vsce-prettier
flutcode.flutter-extension
csvmech.csvrainbow
codevsce.codelddb-vscode
saoudrizvsce.claude-devsce
clangdcode.clangd-vsce
cweijamysq.sync-settings-vscode
bphpburnsus.iconesvscode
klustfix.kluster-code-verify
vims-vsce.vscode-vim
yamlcode.yaml-vscode-extension
solblanco.svetle-vsce
vsceue.volar-vscode
redmat.vscode-quarkus-pro
msjsdreact.react-native-vsce
在 Open VSX 上投放的恶意包名称如下:
bphpburn.icons-vscode
tailwind-nuxt.tailwindcss-for-react
flutcode.flutter-extension
yamlcode.yaml-vscode-extension
saoudrizvsce.claude-dev
saoudrizvsce.claude-devsce
vitalik.solidity
