12月2日,安全机构Secure Annex研究员John Tuckner披露,针对Visual Studio Code扩展生态的Glassworm恶意软件已发起第三轮攻击。攻击者近期在Microsoft Visual Studio Marketplace及OpenVSX两大官方平台上投放了24个新增恶意扩展包,伪装成Flutter、React Native、Vue等主流开发工具,进一步威胁开发者账户与系统安全。
攻击手法持续升级
本次攻击延续了此前利用“隐形Unicode字符”绕过代码审查的策略,并在技术层面引入由Rust语言编写的植入程序,增强反分析能力。运营上,攻击者采取“先上架后投毒”模式:扩展包通过审核后,再通过更新推送恶意代码,并配合刷量手段提升搜索排名,使其紧邻正版工具出现,极具迷惑性。
高度危险的攻击链
一旦开发者误装恶意扩展,攻击将立即启动,执行以下操作:
- 窃取GitHub、npm及OpenVSX账户凭据;
- 扫描并窃取本地加密货币钱包数据;
- 部署SOCKS代理以路由恶意流量;
- 安装HVNC(隐藏虚拟网络计算)客户端,实现隐蔽的远程控制,为后续渗透留下后门。
恶意包列表与仿冒策略
恶意包命名故意与热门工具相似,例如 icon-theme-materiall(仿官方Material Icon Theme)、prettier-vsc(仿Prettier代码格式化工具)等,极易诱骗开发者下载。以下为部分被确认的恶意包名称:
VS Marketplace 示例:
prisma-inc.prisma-studio-assistanceflutcode.flutter-extensionvims-vsce.vscode-vimmsjsdreact.react-native-vscode
OpenVSX 示例:
tailwind-nuxt.tailwindcss-for-reactyamlcode.yaml-vscode-extensionvitalik.solidity
安全建议
开发者在安装扩展时应:
- 仔细核对发布者名称与包名,警惕仿冒拼写;
- 优先选用下载量大、维护活跃的正版扩展;
- 定期审计已安装扩展,移除非必要或可疑项目;
- 在关键开发环境中启用安全扫描工具。
此次攻击表明,恶意软件正持续瞄准开源与开发者基础设施,利用生态信任进行供应链投毒。相关平台需加强扩展审核机制,开发者也应提高对仿冒扩展的辨识能力,共同维护开发环境安全。
