GlassWorm恶意软件卷土重来 三款新VSCode扩展下载量超万次

上个月入侵OpenVSX 和Visual Studio Code 应用程序市场的GlassWorm 恶意软件攻击活动再次卷土重来。此次，三个携带恶意负载的新VSCode 扩展下载量已超过10,000 次。

GlassWorm 是一种恶意软件攻击系统，通过Solana 区块链交易获取恶意负载。攻击目标包括GitHub、NPM 和OpenVSX 平台的帐户凭据，以及49 个扩展中的加密货币钱包数据。

该恶意软件利用不可见的Unicode 字符（显示为空格，但可以作为JavaScript 执行）来执行恶意操作。

它首次出现时，通过Microsoft VS Code 和OpenVSX 应用市场中的12 个扩展程序传播，下载量达到35,800 次。不过，也有人认为攻击者人为地增加了下载数据，因此无法确定实际的攻击范围。

针对此次安全事件，OpenVSX已对部分受GlassWorm危害的账户轮换了访问令牌（具体数量尚未透露），实施了安全增强措施，并将事件标记为已解决。

GlassWorm 再次发起攻击，继续跟踪此次攻击的Koi Security 表示，攻击者已返回OpenVSX 平台并正在使用原来的基础设施，但已更新了命令和控制(C2) 服务器端点和Solana 事务信息。

隐藏有效负载

三个携带GlassWorm恶意负载的OpenVSX扩展如下：

- ai-driven-dev.ai-driven-dev — 3400 次下载

- adhamu.history-in-sublime-merge — 4000 次下载

- yasuyuky.transient-emacs — 2400 次下载

Koi Security指出，这三个扩展都使用了与原始恶意文件相同的隐形Unicode字符混淆技术，并且该技术仍然可以成功绕过OpenVSX的新防御机制。

正如Aikido 之前报道的那样，GlassWorm 运营商并没有被上个月的曝光吓倒，而是转向GitHub 平台进行活动。这次通过新扩展回归OpenVSX 表明了其恢复多平台攻击操作的意图。

攻击基础设施被暴露。利用匿名线索，锦鲤安全成功访问了攻击者的服务器，并获取了攻击受害者的关键数据。检索到的数据显示，GlassWorm具有全球影响力，受害系统分布在美国、南美、欧洲、亚洲以及中东的一个政府机构。

关于攻击者的身份，Koi Security 透露，他是俄语使用者，使用RedExt 开源浏览器扩展C2 框架进行攻击。

从暴露的端点

研究人员已将获得的所有数据（包括来自多个加密货币交易所和即时通讯平台的用户ID）提交给执法部门，并正在协调受影响机构的通知。

Koi Security 透露，迄今为止已识别出60 名不同的受害者，同时指出，这次仅从一个暴露的端点获得了部分受害者列表。目前，这三个携带GlassWorm恶意负载的扩展程序仍然可以在OpenVSX平台上下载。