Open VSX代碼倉庫泄露訪問令牌引發供應鏈攻擊 惡意擴展程序被植入

目前，Open VSX代碼倉庫已輪換訪問令牌——此前開發者在公共代碼庫中意外泄露了這些令牌，導致威脅者得以通過供應鏈攻擊發布惡意擴展程序。

此次泄露由Wiz公司研究人員于兩周前發現，他們當時報告稱，微軟VSCode和Open VSX應用市場共暴露了550余個敏感信息。

據悉，其中部分敏感信息可用于訪問下載量達15萬次的項目，使威脅者能夠上傳惡意版本的擴展程序，造成嚴重的供應鏈安全風險。

Open VSX由Eclipse基金會主導開發，是微軟Visual Studio應用市場的開源替代方案，后者為VSCode集成開發環境（IDE）提供擴展程序。 Open VSX作為社區驅動的代碼倉庫，提供與VSCode兼容的擴展程序，供無法使用微軟平臺的人工智能驅動衍生工具（如Cursor和Windsurf）使用。

GlassWorm惡意軟件 campaign

泄露的部分令牌在數日后被用于一場名為“GlassWorm”的惡意軟件攻擊活動。Koi Security研究人員報告稱，GlassWorm將一款自我傳播型惡意軟件隱藏在不可見的Unicode字符中，試圖竊取開發者憑證，并在所有可觸及的項目中引發連鎖性數據泄露。這些攻擊還針對49個擴展程序中的加密貨幣錢包數據，表明攻擊者的動機可能是獲取經濟利益。

Open VSX團隊及Eclipse基金會發布博客文章回應此次攻擊活動與令牌泄露事件，稱GlassWorm實際上并不具備自我復制能力，但確實以開發者憑證為攻擊目標。

Open VSX團隊澄清道：“涉事惡意軟件旨在竊取開發者憑證，進而擴大攻擊者的影響范圍，但它不會自主通過系統或用戶設備傳播。”報告中提到的3.58萬次下載量高估了實際受影響用戶數量，其中包含攻擊者利用機器人和提升曝光度的手段制造的虛假下載量。”

盡管如此，事件在接到通知后迅速得到控制。截至10月21日，所有惡意擴展程序已從Open VSX代碼倉庫中移除，相關訪問令牌也已完成輪換或撤銷。

Open VSX目前已確認，事件已完全得到控制，無持續影響，且計劃實施額外安全措施以防范未來攻擊。

四、后續安全強化措施

此次將實施的安全增強措施如下：

1. 縮短令牌有效期，降低泄露后的影響范圍；

2. 推出更快速的泄露憑證撤銷流程；

3. 擴展程序發布時進行自動化安全掃描；

4. 與VSCode及其他應用市場合作，共享威脅情報。

需要注意的是，有媒體向Eclipse基金會發送郵件，詢問總共輪換了多少個令牌，但截至目前尚未收到回應。

與此同時，Aikido公司報告稱，GlassWorm背后的同一批威脅者已轉向GitHub平臺，他們采用相同的Unicode隱寫術技巧隱藏惡意負載。

研究人員表示，該攻擊活動已擴散至多個代碼倉庫，其中大部分集中在JavaScript項目。此次轉向GitHub表明，該威脅仍在活躍，在被曝光后迅速在開源生態系統中轉移攻擊目標。

參考及來源：https://www.bleepingcomputer.com/news/security/open-vsx-rotates-tokens-used-in-supply-chain-malware-attack/