导语:开发者一旦在开发环境中安装该恶意插件,其GitHub、npm、OpenVSX账户凭证,以及49款扩展工具中的加密货币钱包数据都将面临被盗风险。
10月首次现身OpenVSX与微软Visual Studio应用市场的Glassworm攻击活动已演进至第三波,目前两大平台新增24款恶意插件。
OpenVSX与微软Visual Studio应用市场均为支持VS Code兼容编辑器的插件仓库,开发者可通过这两个平台安装语言支持包、框架工具、主题模板及其他提升开发效率的附加组件。其中,微软应用市场是Visual Studio Code的官方插件平台,而OpenVSX作为开源、厂商中立的替代方案,主要服务于无法或不愿使用微软专有商店的编辑器用户。
Glassworm恶意软件最早由Koi Security于10月20日披露,其核心技术手段是利用“不可见Unicode字符”隐藏恶意代码,规避平台审核机制。开发者一旦在开发环境中安装该恶意插件,其GitHub、npm、OpenVSX账户凭证,以及49款扩展工具中的加密货币钱包数据都将面临被盗风险。
此外,该恶意软件还会部署SOCKS代理,通过受害者设备中转恶意流量,并安装HVNC客户端,为攻击者提供隐蔽的远程控制权限。
尽管平台方曾清理首批恶意插件,但Glassworm很快通过新的插件包和发布者账户重新入侵两大市场。此前,OpenVSX曾宣布事件已完全受控,并已重置泄露的访问令牌。
此次第三波攻击的重现由Secure Annex研究员发现,恶意插件的命名显示其攻击范围广泛,涵盖Flutter、Vim、Yaml、Tailwind、Svelte、React Native、Vue等热门开发工具与框架。
合法(左)和假冒(右)的软件包
Secure Annex已确认第三波攻击涉及以下插件:
微软Visual Studio应用市场
1.iconkieftwo.icon-theme-materiall
2.prisma-inc.prisma-studio-assistance
3.prettier-vsc.vsce-prettier
4.flutcode.flutter-extension
5.csvmech.csvrainbow
6.codevsce.codelddb-vscode
7.saoudrizvsce.claude-devsce
8.clangdcode.clangd-vsce
9.cweijamysq.sync-settings-vscode
10.bphpburnsus.iconesvscode
11.klustfix.kluster-code-verify
12.vims-vsce.vscode-vim
13.yamlcode.yaml-vscode-extension
14.solblanco.svetle-vsce
15.vsceue.volar-vscode
16.redmat.vscode-quarkus-pro
17.msjsdreact.react-native-vsce
OpenVSX应用市场
1.bphpburn.icons-vscode
2.tailwind-nuxt.tailwindcss-for-react
3.flutcode.flutter-extension
4.yamlcode.yaml-vscode-extension
5.saoudrizvsce.claude-dev
6.saoudrizvsce.claude-devsce
7.vitalik.solidity
攻击流程呈现明显的隐蔽性:恶意插件在通过平台审核后,发布者会推送包含恶意代码的更新包,随后人为刷高下载量,营造“合法可信”的假象。这种刷量行为还能操控搜索结果排序,使恶意插件排名靠前,与所仿冒的正规项目高度接近,增加开发者误装风险。
混淆的搜索结果
技术层面,Glassworm已实现升级迭代,目前采用基于Rust语言开发的植入程序封装在插件中,部分场景下仍保留“不可见Unicode字符”的隐藏手段。
有效负载
文章翻译自:https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-in-third-wave-of-malicious-vs-code-packages/如若转载,请注明原文地址
