Visual Studio Code 中的 GlassWorm:新的恶意扩展程序及其在欧洲的传播范围

最后更新: 11/11/2025
作者: 艾萨克
  • GlassWorm 再次出现,在 Open VSX 中引入了三个恶意扩展,会影响 VS Code。
  • 在 Solana 中通过事务使用不可见的 Unicode 字符和动态 C2。
  • 窃取凭证(GitHub、Open VSX 和 Git)并清空 49 个加密钱包扩展程序。
  • 全球影响,包括对欧洲受害者的影响以及对开发商和公司的实用建议。

Visual Studio Code 中的 GlassWorm

该活动 恶意软件 GlassWorm 又回来了 Visual Studio Code 生态系统中新增了一批 恶意扩展 截至最近调查之日,这些程序仍可在 Open VSX 上下载。该操作结合了以下技术: 使用不可见的Unicode进行混淆 以及通过 Solana 区块链上的交易进行更新的命令和控制基础设施。

在10月份的第一次清洗之后, Open VSX 已移除恶意扩展 在轮换或撤销被盗令牌后,同一攻击者带着新的工具再次出现,目标依然是开发者。其目标包括窃取凭证。 GitHub、OpenVSX 和 Git此外,还清空了49个投资组合扩展项目的资金。 criptomonedas 以及远程访问实用程序的安装。

GlassWorm是什么?它是如何渗透到VS Code生态系统中的?

VS Code 中的恶意扩展

GlassWorm 是一场利用了以下因素的战役 Visual Studio 代码扩展 它既在 Microsoft Marketplace 中,也在 Open VSX 注册表中植入恶意代码。其显著特点是利用了 不可见的 Unicode 字符 这些功能在编辑器中并不明显,但它们允许在看似合法的扩展程序中执行嵌入式 JavaScript。

恶意软件不仅窃取信息,它还会寻找…… 以“蠕虫”模式进行自我繁殖利用窃取的凭证入侵更多账户和项目。这使他们能够通过发布新版本的扩展程序、植入后门和部署工具来扩大其影响范围。 远程访问和键盘记录 在受影响的设备上。

GlassWorm 的另一个特别敏感的方面是 加密货币钱包被盗 通过数十种与钱包相关的扩展程序。这种开发者身份盗窃、代码库篡改和金融资产攻击相结合的攻击方式,对欧洲技术团队和组织构成了重大风险。

  使用公式在 Excel 中创建随机密码生成器

新浪潮:涉及的扩展和范围

据多个团队的独立追踪显示,该演员已携三个具有相同功能的扩展程序回归 Open VSX。 使用隐藏的Unicode进行混淆 Solana 也采用了相同的 C2 更新方法。两者结合起来,轻松超过了 10.000 下载攻击者本人可能会夸大这个数字,以博取信任。

  • 人工智能驱动开发.人工智能驱动开发
  • adhamu.sublime 合并历史
  • yasuyuky.transient-emacs

尽管 Open VSX 在第一次事件后引入了安全措施,但这些措施仍然存在风险。 有三款扩展程序成功躲过了它们的追查。 他们使用了相同的隐藏技术。在上次分析发布时,这些工具仍然可以在注册表中找到,这凸显了加强管控以及用户审查自身环境的必要性。

攻击基础设施和归因

GlassWorm 的运营者更新了其地址 指挥与控制 在 Solana 网络上发布低成本交易。这种方法提供了弹性:如果有效载荷服务器发生故障,只需…… 发起新交易 这样,受感染的计算机就能自动获取更新后的位置。

意外暴露 攻击者的服务器端点 这使得我们能够编制一份受害者名单的部分内容,这些受害者遍布美国、南美、欧洲和亚洲,其中包括一个中东政府机构。虽然具体的西班牙组织尚未被详细列出,但其在欧洲的范围表明…… 欧盟球队 他们可能正处于危险之中。

法医分析还恢复了以下记录: 操作员的键盘记录器这表明攻击者讲俄语,并使用开源的 RedExt 框架作为其基于浏览器的 C2 基础设施的一部分。这些特征与攻击者兼具技术专长、坚持不懈和适应能力的特点相吻合。

活动时间表和受影响的平台

GlassWorm漏洞最早于10月下旬被发现,当时VS Code和Open VSX市场上已有十几个扩展程序与该漏洞相关。 数万次下载 (这个数字可能被夸大了)。在遭受最初的打击之后,Open VSX 删除了检测到的内容,并且 轮换或撤销的代币 10月21日,同事们。

  7 个恢复硬盘文件的最佳程序

这位演员非但没有放慢脚步,反而转向了…… GitHub上使用窃取的凭据向代码仓库推送恶意提交。几周后,它带着上述三个扩展程序再次入侵 Open VSX 注册表,将攻击范围扩展到多个方面,包括: GitHub、NPM 和 Open VSX研究人员已经统计到至少 60名不同的受害者 部分清单显示,实际影响可能更大。

针对欧洲和西班牙的缓解措施和建议

对于开发团队:审查以下清单 VS Code 中安装的扩展, 卸载可疑的程序 并检查 Open VSX/Microsoft 编辑器以验证发布者的状态。这一点值得注意…… 相似或冒充的姓名维护者进行了非典型的估值和最近的更改。

关于资质方面,建议 轮换令牌和密钥 从 GitHub/Open VSX/Git 撤销未使用的 PAT,启用双因素身份验证,并检查密钥 SSH的各组织应加强以下方面的政策 签署和审核变更 (分支保护、强制审查)并监控 CI/CD 管道中的完整性。

为了降低风险面,请启用编辑器 显示不可见字符应用代码检查工具和安全规则来检测可疑的 Unicode,并锁定关键依赖项和扩展。避免从共享链接安装扩展。 未经证实的消息来源.

如果怀疑设备遭到入侵:隔离设备, 撤销活跃会话 对于供应商,需审核信息库和商业秘密,并通知注册机构/市场和执法机构。在欧盟,需评估其在以下方面的通知义务: GDPR 和 NIS2 在适当情况下,与受影响人员协调沟通。

GlassWorm 的演变表明攻击者具备以下能力: 重整旗鼓,返回 通过新增扩展程序和增强型C2通道,欧洲科技行业面临的首要任务是加强开发环境的控制,完善凭证管理,并加大对扩展程序和代码库的监管力度,避免在临时撤回后产生虚假的安全感。

如何安装、配置和删除 Chrome 扩展程序
相关文章:
如何安装、配置和删除 Chrome 扩展程序