江蘇
關鍵詞
惡意軟件
科技媒體 bleepingcomputer 昨日(12 月 1 日)發布博文,Glassworm 惡意軟件針對 VS Code 插件生態發起第三波攻擊,在 Microsoft Visual Studio Marketplace 和 OpenVSX 兩大平臺上投放了 24 個新增惡意擴展包。
10 月初,攻擊者利用“隱形 Unicode 字符”逃避代碼審查,偽裝成 Flutter、Vim 等熱門開發工具,并通過人為刷高下載量混淆視聽。
在攻擊機制上,Glassworm 展現出極高的危險性。一旦開發者誤裝這些擴展,惡意軟件便會立即運行,竊取受害者的 GitHub、npm 和 OpenVSX 賬戶憑證,并掃描盜取加密貨幣錢包數據。
更為嚴重的是,攻擊者會在受害者機器上部署 SOCKS 代理實現路由惡意流量,并安裝 HVNC(隱藏虛擬網絡計算)客戶端。這讓攻擊者能夠繞過常規監控,隱蔽地遠程訪問受害者計算機,從而進行更深層次的滲透或破壞。
為了躲避安全審查與用戶警覺,Glassworm 采用了多重偽裝戰術。在技術層面,它繼續使用“隱形 Unicode 字符”將惡意代碼隱藏在看似正常的源碼中,同時在第三波攻擊中引入了 Rust 語言編寫的植入程序,進一步增加了分析難度。
在運營層面,攻擊者通常在擴展包上架并通過審核后,才推送包含惡意代碼的更新。隨后,他們會人為刷高下載量,讓惡意擴展在搜索結果中排位靠前,甚至緊鄰其模仿的正規項目,極具欺騙性。
第三波攻擊由安全機構 Secure Annex 的研究員 John Tuckner 發現,他分析指出攻擊者的目標范圍非常廣泛,涵蓋了 Flutter、Vim、Yaml、Tailwind、Svelte、React Native 和 Vue 等主流開發框架與工具。
合法包(左)和冒充偽裝包(右)
被曝光的惡意包名稱極具迷惑性,如 icon-theme-materiall(模仿材質圖標主題)、prettier-vsc(模仿代碼格式化工具)等,這種“李鬼”式的命名策略,利用了開發者在搜索安裝時的慣性,極易導致誤下載。
令人困惑的搜索結果
IT之家附上 VS Marketplace 上惡意包名稱如下:
iconkieftwo.icon-theme-materiall
prisma-inc.prisma-studio-assistance
prettier-vsc.vsce-prettier
flutcode.flutter-extension
csvmech.csvrainbow
codevsce.codelddb-vscode
saoudrizvsce.claude-devsce
clangdcode.clangd-vsce
cweijamysq.sync-settings-vscode
bphpburnsus.iconesvscode
klustfix.kluster-code-verify
vims-vsce.vscode-vim
yamlcode.yaml-vscode-extension
solblanco.svetle-vsce
vsceue.volar-vscode
redmat.vscode-quarkus-pro
msjsdreact.react-native-vsce
在 Open VSX 上投放的惡意包名稱如下:
bphpburn.icons-vscode
tailwind-nuxt.tailwindcss-for-react
flutcode.flutter-extension
yamlcode.yaml-vscode-extension
saoudrizvsce.claude-dev
saoudrizvsce.claude-devsce
vitalik.solidity
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
