网络安全研究人员披露了一起针对 Open VSX 插件仓库的供应链攻击详情,不明身份的威胁攻击者攻陷了一名合法开发者的相关资源,借此向下游用户推送恶意更新包。
“2026 年 1 月 30 日,由开发者 oorzc 发布的四款成熟 Open VSX 插件,被上传了嵌入GlassWorm 恶意软件加载器的恶意版本”,Socket 安全研究员基里尔・博伊琴科在周六发布的报告中指出。
“这些插件此前一直以正规开发者工具的身份存在(部分插件发布时间已超过两年),在恶意版本发布前,累计下载量已超 22000 次。”
这家供应链安全公司表示,此次攻击的核心是开发者的插件发布凭据遭窃取,Open VSX 安全团队评估认为,攻击者的作案手段要么是利用泄露的令牌,要么是通过其他方式实现了未授权访问。目前,这些恶意插件版本已被从 Open VSX 平台下架。
已确认的涉事插件名单如下:
- FTP/SFTP/SSH 同步工具(oorzc.ssh-tools — 版本 0.5.1)
- 国际化工具(oorzc.i18n-tools-plus — 版本 1.6.8)
- vscode 思维导图(oorzc.mind-map — 版本 1.0.61)
- scss 转 css(oorzc.scss-to-css-compile — 版本 1.3.4)
Socket 指出,这些被篡改的插件版本,其设计目的是投递一款与已知攻击活动相关联的加载器恶意软件,即 GlassWorm。该加载器可在运行时解密并执行嵌入的恶意代码,采用了一种日趋武器化的技术EtherHiding来获取命令与控制(C2)服务器地址,最终会执行恶意代码,窃取苹果 macOS 系统的账户凭据以及加密货币钱包数据。
同时,这款恶意软件并非立即触发执行,而是会先对受感染设备进行环境探查,确认设备不属于俄语区域后才会启动。这种模式在俄语区相关威胁组织开发的恶意程序中十分常见,目的是避免在本土范围内遭到法律追责。
该恶意软件窃取的信息类型包括:
- 火狐浏览器及基于 Chromium 内核的浏览器数据(登录凭证、Cookie、上网记录,以及 MetaMask 等钱包插件数据)
- 加密货币钱包文件(涵盖 Electrum、Exodus、Atomic、Ledger Live、Trezor Suite、币安、TonKeeper 等主流钱包)
- iCloud 钥匙串数据库
- Safari 浏览器 Cookie
- 苹果备忘录数据
- 桌面、文档、下载文件夹中的用户文件
- FortiClient VPN 配置文件
- 开发者凭据(例如~/.aws 和~/.ssh 目录下的文件)
针对开发者信息的窃取行为存在严重风险,可能导致企业环境面临云账户被攻陷、攻击者横向渗透内网等威胁。
“该恶意载荷包含专门的程序逻辑,可定位并提取日常开发流程中使用的认证信息,包括检查 npm 配置中的_authToken 令牌、读取 GitHub 认证相关文件等,这些信息可被用于访问私有代码仓库、持续集成密钥以及发布自动化系统。” 博伊琴科补充道。
此次攻击的一个显著特点在于,它与此前发现的 GlassWorm 攻击特征存在差异 ——攻击者借助遭攻陷的合法开发者账户来传播恶意软件。而在以往的攻击活动中,该威胁组织通常会采用 “仿冒拼写插件名”“品牌劫持” 的手段,上传伪造插件以实现恶意传播。
“该威胁组织的攻击行为完全融入开发者的日常工作流程,将恶意执行逻辑隐藏在加密的、运行时解密的加载器中,还利用 Solana 区块链备忘录作为动态秘密传输点,无需重新发布插件即可更换中转服务器。”Socket 表示,“这些设计方案降低了静态特征检测的有效性,迫使防御方将防护重心转向行为检测与快速响应。”
发表评论
您还未登录,请先登录。
登录