【安全圈】Glassworm 惡意軟件爆發第三波攻擊：24 個“李鬼”擴展包投毒，可竊取 GitHub 賬號等

關鍵詞

惡意軟件

科技媒體 bleepingcomputer 昨日（12 月 1 日）發布博文，Glassworm 惡意軟件針對 VS Code 插件生態發起第三波攻擊，在 Microsoft Visual Studio Marketplace 和 OpenVSX 兩大平臺上投放了 24 個新增惡意擴展包。

10 月初，攻擊者利用“隱形 Unicode 字符”逃避代碼審查，偽裝成 Flutter、Vim 等熱門開發工具，并通過人為刷高下載量混淆視聽。

在攻擊機制上，Glassworm 展現出極高的危險性。一旦開發者誤裝這些擴展，惡意軟件便會立即運行，竊取受害者的 GitHub、npm 和 OpenVSX 賬戶憑證，并掃描盜取加密貨幣錢包數據。

更為嚴重的是，攻擊者會在受害者機器上部署 SOCKS 代理實現路由惡意流量，并安裝 HVNC（隱藏虛擬網絡計算）客戶端。這讓攻擊者能夠繞過常規監控，隱蔽地遠程訪問受害者計算機，從而進行更深層次的滲透或破壞。

為了躲避安全審查與用戶警覺，Glassworm 采用了多重偽裝戰術。在技術層面，它繼續使用“隱形 Unicode 字符”將惡意代碼隱藏在看似正常的源碼中，同時在第三波攻擊中引入了 Rust 語言編寫的植入程序，進一步增加了分析難度。

在運營層面，攻擊者通常在擴展包上架并通過審核后，才推送包含惡意代碼的更新。隨后，他們會人為刷高下載量，讓惡意擴展在搜索結果中排位靠前，甚至緊鄰其模仿的正規項目，極具欺騙性。

第三波攻擊由安全機構 Secure Annex 的研究員 John Tuckner 發現，他分析指出攻擊者的目標范圍非常廣泛，涵蓋了 Flutter、Vim、Yaml、Tailwind、Svelte、React Native 和 Vue 等主流開發框架與工具。

合法包（左）和冒充偽裝包（右）

被曝光的惡意包名稱極具迷惑性，如 icon-theme-materiall（模仿材質圖標主題）、prettier-vsc（模仿代碼格式化工具）等，這種“李鬼”式的命名策略，利用了開發者在搜索安裝時的慣性，極易導致誤下載。

令人困惑的搜索結果

IT之家附上 VS Marketplace 上惡意包名稱如下：

• iconkieftwo.icon-theme-materiall

• prisma-inc.prisma-studio-assistance

• prettier-vsc.vsce-prettier

• flutcode.flutter-extension

• csvmech.csvrainbow

• codevsce.codelddb-vscode

• saoudrizvsce.claude-devsce

• clangdcode.clangd-vsce

• cweijamysq.sync-settings-vscode

• bphpburnsus.iconesvscode

• klustfix.kluster-code-verify

• vims-vsce.vscode-vim

• yamlcode.yaml-vscode-extension

• solblanco.svetle-vsce

• vsceue.volar-vscode

• redmat.vscode-quarkus-pro

• msjsdreact.react-native-vsce

在 Open VSX 上投放的惡意包名稱如下：

• bphpburn.icons-vscode

• tailwind-nuxt.tailwindcss-for-react

• flutcode.flutter-extension

• yamlcode.yaml-vscode-extension

• saoudrizvsce.claude-dev

• saoudrizvsce.claude-devsce

• vitalik.solidity

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！