名为 GlassWorm 的供应链攻击活动再度抬头,已入侵微软Visual Studio Marketplace和Open VSX平台,植入24款仿冒热门开发工具与框架(如Flutter、React、Tailwind、Vim、Vue)的恶意扩展。
攻击背景与核心危害
GlassWorm于2025年10月首次被记录,其利用 Solana区块链 作为命令控制(C2)服务器,窃取npm、Open VSX、GitHub和Git凭证, draining 数十个加密货币钱包资产,并将开发者设备转变为攻击者控制的节点,用于其他犯罪活动。
该攻击活动最关键的环节是 滥用被盗凭证 攻陷更多软件包和扩展,使恶意软件像蠕虫般扩散。尽管微软和Open VSX持续采取防御措施,该恶意软件上月仍第二次卷土重来,且攻击者已开始针对GitHub代码库。
最新攻击浪潮与伪装手段
Secure Annex的John Tuckner发现,GlassWorm最新攻击波及两大平台共24款扩展,已识别的恶意扩展清单如下:
VS Code Marketplace
- iconkieftwo.icon-theme-materiall (2025年12月2日已移除)
- prisma-inc.prisma-studio-assistance (2025年12月1日已移除)
- prettier-vsc.vsce-prettier
- flutcode.flutter-extension
- csvmech.csvrainbow
- codevsce.codelddb-vscode
- saoudrizvsce.claude-devsce
- clangdcode.clangd-vsce
- cweijamysq.sync-settings-vscode
- bphpburnsus.iconesvscode
- klustfix.kluster-code-verify
- vims-vsce.vscode-vim
- yamlcode.yaml-vscode-extension
- solblanco.svetle-vsce
- vsceue.volar-vscode
- redmat.vscode-quarkus-pro
- msjsdreact.react-native-vsce
Open VSX
- bphpburn.icons-vscode
- tailwind-nuxt.tailwindcss-for-react
- flutcode.flutter-extension
- yamlcode.yaml-vscode-extension
- saoudrizvsce.claude-dev
- saoudrizvsce.claude-devsce
- vitalik.solidity
攻击者通过 人为刷高下载量 使恶意扩展显得可信,并在搜索结果中与仿冒的真实项目接近,诱骗开发者安装。
技术演进与检测规避
Tuckner表示:“扩展一旦通过初始审核,攻击者就能轻松更新代码发布恶意版本并绕过过滤机制。许多代码扩展以‘activate’上下文启动,恶意代码会紧随激活过程植入。”
新版本虽仍依赖 不可见Unicode字符 技巧,但其特征是使用封装在扩展内的 Rust植入程序。Nextron Systems对“icon-theme-materiall”扩展的分析显示,其包含针对Windows和macOS系统的两款Rust植入程序:
- Windows DLL文件:os.node
- macOS动态库:darwin.node
与此前GlassWorm感染一致,植入程序设计从Solana区块链钱包地址获取C2服务器信息,用于下载下一阶段载荷(加密JavaScript文件)。作为备份,它们还可解析Google日历事件提取C2地址。
“攻击者极少在一周内通过两大主流市场发布20余款恶意扩展,”Tuckner在声明中指出,“许多开发者可能轻易被这些扩展欺骗,只需一次点击就会沦陷。”
发表评论
您还未登录,请先登录。
登录