摘要:GlassWorm恶意软件通过仿冒知名扩展侵入OpenVSX注册表,已投放73个有害插件。攻击者采用延迟激活策略,先建立用户基础再推送恶意代码,威胁开发者钱包与敏感凭证安全。
币圈界报道:
73个仿冒扩展潜伏于OpenVSX,GlassWorm攻击链全面曝光
安全机构确认,名为GlassWorm的恶意软件已向OpenVSX平台注入73个伪装成合法工具的恶意扩展程序。这些插件被用于窃取开发者的加密钱包信息、访问令牌及其他核心身份凭证。初步调查显示,其中六个扩展已具备实际攻击能力,正持续活跃于目标环境。
攻击行为演进:从即时植入到延迟激活
GlassWorm最早于2025年10月现身,其核心技术在于利用隐蔽的Unicode字符隐藏恶意逻辑,实现对开发者账户和加密资产的无声窃取。此后,该攻击活动迅速蔓延至npm包管理器、GitHub代码库、Visual Studio Code市场及OpenVSX等主流开发生态。至2026年3月中旬,影响范围覆盖数百个开源项目与数十个扩展组件,引发多方技术团队高度警觉。多个研究单位在早期阶段识别异常并协助阻断传播路径。
近期攻击模式发生关键转变:新一批扩展不再初始即携带恶意代码,而是以“无害”姿态上线,积累用户信任后,通过后续版本更新悄然注入攻击载荷。据Socket研究团队披露:“这类仿冒插件首次发布时表现正常,但更新机制成为恶意代码释放的关键节点。”
三类隐蔽渗透路径揭示攻击复杂性
研究人员在73个受感染扩展中识别出三种典型攻击路径:第一种为运行时动态下载第二重安装包,通过命令行工具执行额外模块部署;第二种是加载特定平台编译的动态模块,内置获取更多攻击组件的调用接口;第三种则采用深度混淆的JavaScript脚本,在运行阶段解码并触发远程下载,支持加密通道或备用链接分发恶意内容。
这些伪造扩展在视觉与功能层面高度模仿正版产品,包括复刻图标、使用近似名称与描述文本。尽管发布者标识与唯一ID存在差异,但多数开发者未进行深入验证。该恶意程序专攻访问令牌、数字钱包数据、SSH密钥及开发环境配置信息,构成严重供应链风险。
供应链攻击波及企业级工具链
攻击范围进一步延伸至关键基础设施。4月22日,npm注册表曾托管一个篡改版Bitwarden命令行工具,恶意版本持续存在93分钟。该事件由JFrog监测发现,其载荷可窃取GitHub个人令牌、npm认证凭据、云平台密钥、SSH密钥以及GitHub Actions工作流权限。
JFrog分析指出,攻击者通过修改安装钩子与二进制入口点,在安装和运行阶段注入混淆代码,实现持久化控制。根据官方统计,受影响的Bitwarden服务涵盖超过5万家企业和千万级终端用户。此事件已被确认与Checkmarx追踪的大型攻击活动存在关联,相关方已启动应急响应。
构建可信开发生态的防御建议
此类攻击凸显了注册表系统在发布审核与内容审查之间的延迟窗口。数据显示,2025年全球各软件包仓库共检测到约45.46万个新型恶意包,其中大量针对加密资产托管、DeFi协议及代币发行平台的威胁行为体正将注册表作为主要攻击入口。
对于已安装可疑扩展的开发者,应立即更换所有密钥凭证,并对开发环境进行全面清理。同时需密切关注剩余67个尚未激活的扩展状态变化,推动OpenVSX平台建立更严格的扩展更新审查机制,防范未来类似事件再度发生。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。