Open VSX代码仓库泄露访问令牌引发供应链攻击 恶意扩展程序被植入

目前，在开发人员意外泄露公共代码存储库中的访问令牌后，Open VSX 代码存储库已轮换访问令牌——，从而允许威胁行为者通过供应链攻击释放恶意扩展。

此次泄露是由Wiz 研究人员在两周前发现的，当时他们报告称，Microsoft VSCode 和Open VSX 应用市场中共有超过550 条敏感信息被泄露。

据悉，部分敏感信息可用于访问下载量达15万次的项目，从而允许威胁行为者上传恶意版本的扩展程序，造成严重的供应链安全风险。

Open VSX 由Eclipse 基金会开发，是Microsoft Visual Studio 应用程序市场的开源替代品，它提供了VSCode 集成开发环境(IDE) 的扩展。 Open VSX 作为社区驱动的代码存储库，提供与VSCode 兼容的扩展，供无法使用Microsoft 平台的人工智能驱动的衍生产品（例如Cursor 和Windsurf）使用。

GlassWorm 恶意软件活动泄露的一些代币在几天后被用于名为“GlassWorm”的恶意软件攻击活动。 Koi Security 研究人员报告称，GlassWorm 在不可见的Unicode 字符中隐藏了一种自我传播的恶意软件，该恶意软件试图窃取开发人员凭证并在其范围内的所有项目中触发级联数据泄漏。这些攻击还针对49 个扩展程序的加密货币钱包数据，这表明攻击者可能是出于经济利益的动机。

Open VSX 团队和Eclipse 基金会针对此次攻击和令牌泄露发布了一篇博文，称GlassWorm 实际上并不具备自我复制的能力，但它确实针对开发人员凭据。

Open VSX 团队澄清说：“相关恶意软件旨在窃取开发人员凭据，从而扩大攻击者的影响范围，但它不会通过系统或用户设备自主传播。”报告中提到的35,800 次下载高估了受影响用户的实际数量，其中包括攻击者使用机器人和宣传方法创建的虚假下载。 ”

尽管如此，事件在接到通知后很快得到了控制。截至10 月21 日，所有恶意扩展已从Open VSX 代码存储库中删除，相关访问令牌已轮换或撤销。

Open VSX已确认该事件已得到完全控制并且没有持久影响，并计划实施额外的安全措施以防止未来的攻击。

4、后续安全增强措施本次将实施的安全增强措施如下：

1、缩短代币的有效期，减少泄露后的影响范围；

2. 针对泄露的凭证启动更快的撤销流程；

3、扩展发布时进行自动安全扫描；

4、与VSCode等应用市场合作，共享威胁情报。

需要注意的是，有媒体向Eclipse 基金会发送电子邮件询问总共轮换了多少代币，但目前尚未收到回复。

与此同时，Aikido 报告称，GlassWorm 背后的同一威胁参与者已转向GitHub 平台，采用相同的Unicode 隐写术技巧来隐藏其恶意负载。

研究人员表示，攻击已蔓延到多个代码存储库，其中大部分集中在JavaScript 项目中。转移到GitHub 表明该威胁仍然活跃，在暴露后迅速将目标转移到整个开源生态系统。