北京
10月首次現(xiàn)身OpenVSX與微軟Visual Studio應(yīng)用市場(chǎng)的Glassworm攻擊活動(dòng)已演進(jìn)至第三波,目前兩大平臺(tái)新增24款惡意插件。
OpenVSX與微軟Visual Studio應(yīng)用市場(chǎng)均為支持VS Code兼容編輯器的插件倉(cāng)庫(kù),開(kāi)發(fā)者可通過(guò)這兩個(gè)平臺(tái)安裝語(yǔ)言支持包、框架工具、主題模板及其他提升開(kāi)發(fā)效率的附加組件。其中,微軟應(yīng)用市場(chǎng)是Visual Studio Code的官方插件平臺(tái),而OpenVSX作為開(kāi)源、廠商中立的替代方案,主要服務(wù)于無(wú)法或不愿使用微軟專有商店的編輯器用戶。
Glassworm惡意軟件最早由Koi Security于10月20日披露,其核心技術(shù)手段是利用“不可見(jiàn)Unicode字符”隱藏惡意代碼,規(guī)避平臺(tái)審核機(jī)制。開(kāi)發(fā)者一旦在開(kāi)發(fā)環(huán)境中安裝該惡意插件,其GitHub、npm、OpenVSX賬戶憑證,以及49款擴(kuò)展工具中的加密貨幣錢包數(shù)據(jù)都將面臨被盜風(fēng)險(xiǎn)。
此外,該惡意軟件還會(huì)部署SOCKS代理,通過(guò)受害者設(shè)備中轉(zhuǎn)惡意流量,并安裝HVNC客戶端,為攻擊者提供隱蔽的遠(yuǎn)程控制權(quán)限。
盡管平臺(tái)方曾清理首批惡意插件,但Glassworm很快通過(guò)新的插件包和發(fā)布者賬戶重新入侵兩大市場(chǎng)。此前,OpenVSX曾宣布事件已完全受控,并已重置泄露的訪問(wèn)令牌。
此次第三波攻擊的重現(xiàn)由Secure Annex研究員發(fā)現(xiàn),惡意插件的命名顯示其攻擊范圍廣泛,涵蓋Flutter、Vim、Yaml、Tailwind、Svelte、React Native、Vue等熱門開(kāi)發(fā)工具與框架。
合法(左)和假冒(右)的軟件包
Secure Annex已確認(rèn)第三波攻擊涉及以下插件:
微軟Visual Studio應(yīng)用市場(chǎng)
1.iconkieftwo.icon-theme-materiall
2.prisma-inc.prisma-studio-assistance
3.prettier-vsc.vsce-prettier
4.flutcode.flutter-extension
5.csvmech.csvrainbow
6.codevsce.codelddb-vscode
7.saoudrizvsce.claude-devsce
8.clangdcode.clangd-vsce
9.cweijamysq.sync-settings-vscode
10.bphpburnsus.iconesvscode
11.klustfix.kluster-code-verify
12.vims-vsce.vscode-vim
13.yamlcode.yaml-vscode-extension
14.solblanco.svetle-vsce
15.vsceue.volar-vscode
16.redmat.vscode-quarkus-pro
17.msjsdreact.react-native-vsce
OpenVSX應(yīng)用市場(chǎng)
1.bphpburn.icons-vscode
2.tailwind-nuxt.tailwindcss-for-react
3.flutcode.flutter-extension
4.yamlcode.yaml-vscode-extension
5.saoudrizvsce.claude-dev
6.saoudrizvsce.claude-devsce
7.vitalik.solidity
攻擊流程呈現(xiàn)明顯的隱蔽性:惡意插件在通過(guò)平臺(tái)審核后,發(fā)布者會(huì)推送包含惡意代碼的更新包,隨后人為刷高下載量,營(yíng)造“合法可信”的假象。這種刷量行為還能操控搜索結(jié)果排序,使惡意插件排名靠前,與所仿冒的正規(guī)項(xiàng)目高度接近,增加開(kāi)發(fā)者誤裝風(fēng)險(xiǎn)。
混淆的搜索結(jié)果
技術(shù)層面,Glassworm已實(shí)現(xiàn)升級(jí)迭代,目前采用基于Rust語(yǔ)言開(kāi)發(fā)的植入程序封裝在插件中,部分場(chǎng)景下仍保留“不可見(jiàn)Unicode字符”的隱藏手段。
有效負(fù)載
參考及來(lái)源: https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-in-third-wave-of-malicious-vs-code-packages/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
