關(guān)鍵詞

惡意軟件

科技媒體 bleepingcomputer 昨日（12 月 1 日）發(fā)布博文，Glassworm 惡意軟件針對 VS Code 插件生態(tài)發(fā)起第三波攻擊，在 Microsoft Visual Studio Marketplace 和 OpenVSX 兩大平臺上投放了 24 個新增惡意擴展包。

10 月初，攻擊者利用“隱形 Unicode 字符”逃避代碼審查，偽裝成 Flutter、Vim 等熱門開發(fā)工具，并通過人為刷高下載量混淆視聽。

在攻擊機制上，Glassworm 展現(xiàn)出極高的危險性。一旦開發(fā)者誤裝這些擴展，惡意軟件便會立即運行，竊取受害者的 GitHub、npm 和 OpenVSX 賬戶憑證，并掃描盜取加密貨幣錢包數(shù)據(jù)。

更為嚴重的是，攻擊者會在受害者機器上部署 SOCKS 代理實現(xiàn)路由惡意流量，并安裝 HVNC（隱藏虛擬網(wǎng)絡(luò)計算）客戶端。這讓攻擊者能夠繞過常規(guī)監(jiān)控，隱蔽地遠程訪問受害者計算機，從而進行更深層次的滲透或破壞。

為了躲避安全審查與用戶警覺，Glassworm 采用了多重偽裝戰(zhàn)術(shù)。在技術(shù)層面，它繼續(xù)使用“隱形 Unicode 字符”將惡意代碼隱藏在看似正常的源碼中，同時在第三波攻擊中引入了 Rust 語言編寫的植入程序，進一步增加了分析難度。

在運營層面，攻擊者通常在擴展包上架并通過審核后，才推送包含惡意代碼的更新。隨后，他們會人為刷高下載量，讓惡意擴展在搜索結(jié)果中排位靠前，甚至緊鄰其模仿的正規(guī)項目，極具欺騙性。

第三波攻擊由安全機構(gòu) Secure Annex 的研究員 John Tuckner 發(fā)現(xiàn)，他分析指出攻擊者的目標范圍非常廣泛，涵蓋了 Flutter、Vim、Yaml、Tailwind、Svelte、React Native 和 Vue 等主流開發(fā)框架與工具。

合法包（左）和冒充偽裝包（右）

被曝光的惡意包名稱極具迷惑性，如 icon-theme-materiall（模仿材質(zhì)圖標主題）、prettier-vsc（模仿代碼格式化工具）等，這種“李鬼”式的命名策略，利用了開發(fā)者在搜索安裝時的慣性，極易導(dǎo)致誤下載。

令人困惑的搜索結(jié)果

IT之家附上 VS Marketplace 上惡意包名稱如下：

• iconkieftwo.icon-theme-materiall

• prisma-inc.prisma-studio-assistance

• prettier-vsc.vsce-prettier

• flutcode.flutter-extension

• csvmech.csvrainbow

• codevsce.codelddb-vscode

• saoudrizvsce.claude-devsce

• clangdcode.clangd-vsce

• cweijamysq.sync-settings-vscode

• bphpburnsus.iconesvscode

• klustfix.kluster-code-verify

• vims-vsce.vscode-vim

• yamlcode.yaml-vscode-extension

• solblanco.svetle-vsce

• vsceue.volar-vscode

• redmat.vscode-quarkus-pro

• msjsdreact.react-native-vsce

在 Open VSX 上投放的惡意包名稱如下：

• bphpburn.icons-vscode

• tailwind-nuxt.tailwindcss-for-react

• flutcode.flutter-extension

• yamlcode.yaml-vscode-extension

• saoudrizvsce.claude-dev

• saoudrizvsce.claude-devsce

• vitalik.solidity

安全圈

網(wǎng)羅圈內(nèi)熱點 專注網(wǎng)絡(luò)安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！