GlassWorm供应链攻击滥用72个Open VSX扩展程序瞄准开发者

网络安全研究人员发现GlassWorm攻击活动的新变种，该变种在Open VSX注册表中的传播方式出现"重大升级"。

Socket安全公司在周五发布的报告中表示："威胁行为者不再要求每个恶意清单直接嵌入加载器，而是开始滥用extensionPack和extensionDependencies功能，将初看起来独立的扩展程序在后续更新中转变为传递性投递载体，允许看似无害的软件包在建立信任后才开始拉取单独的GlassWorm关联扩展程序。"

这家软件供应链安全公司表示，自2026年1月31日以来，他们发现了至少72个额外的恶意Open VSX扩展程序，专门针对开发者。这些扩展程序模仿广泛使用的开发工具，包括代码检查器和格式化器、代码运行器，以及人工智能驱动的编程助手工具，如Claude Code和Google Antigravity。

部分扩展程序名称如下所示。Open VSX已采取措施从注册表中移除这些扩展程序：

angular-studio.ng-angular-extension

crotoapp.vscode-xml-extension

gvotcha.claude-code-extension

mswincx.antigravity-cockpit

tamokill12.foundry-pdf-extension

turbobase.sql-turbo-tool

vce-brendan-studio-eich.js-debuger-vscode

GlassWorm是一个持续进行的恶意软件攻击活动的代号，该活动反复渗透Microsoft Visual Studio Marketplace和Open VSX，通过恶意扩展程序窃取机密信息、盗取加密货币钱包，并滥用被感染的系统作为其他犯罪活动的代理。

虽然这一活动最初由Koi Security在2025年10月标记，但使用相同策略的npm软件包（特别是使用不可见Unicode字符隐藏恶意代码）早在2025年3月就被发现。

最新变种保留了GlassWorm的许多特征：运行检查以避免感染俄语区域的系统，使用Solana交易作为死信箱解析器来获取命令和控制服务器，以提高攻击的复原能力。

但新一批扩展程序还具有更强的混淆性，轮换Solana钱包以逃避检测，并滥用扩展程序关系来部署恶意载荷，类似于npm软件包依赖恶意依赖项来躲避监管。无论扩展程序在"package.json"文件中被声明为"extensionPack"还是"extensionDependencies"，编辑器都会安装其中列出的所有其他扩展程序。

通过这种方式，GlassWorm攻击活动使用一个扩展程序作为另一个恶意扩展程序的安装器。这也开启了新的供应链攻击场景，攻击者首先上传一个完全无害的VS Code扩展程序到市场以绕过审查，然后更新它以列出GlassWorm关联的软件包作为依赖项。

Socket表示："因此，在初始发布时看起来非传递性且相对无害的扩展程序，后来可以在不改变其表面目的的情况下成为传递性GlassWorm投递载体。"

在同期发布的建议中，Aikido将GlassWorm威胁行为者归因于一个在开源仓库中传播的大规模攻击活动，攻击者向各种仓库注入不可见Unicode字符来编码载荷。虽然内容在代码编辑器和终端中加载时不可见，但它会解码为一个加载器，负责获取和执行第二阶段脚本来窃取Token、凭据和机密信息。

估计在2026年3月3日至3月9日期间，该攻击活动影响了不少于151个GitHub仓库。此外，相同的Unicode技术还被部署在两个不同的npm软件包中，表明这是一个协调的跨平台攻击：

@aifabrix/miso-client

@iflow-mcp/watercrawl-watercrawl-mcp

安全研究员Ilyas Makari表示："恶意注入并不出现在明显可疑的提交中。周围的变更很现实：文档调整、版本升级、小型重构和与每个目标项目风格一致的错误修复。这种项目特定的定制化水平强烈表明攻击者正在使用大语言模型来生成令人信服的掩护提交。"

此外，Endor Labs表示发现了88个新的恶意npm软件包，这些软件包通过50个一次性账户在2025年11月至2026年2月之间分三波上传。这些软件包具有从被攻陷机器窃取敏感信息的功能，包括环境变量、CI/CD Token和系统元数据。

该活动的突出特点是使用远程动态依赖（RDD），其中"package.json"元数据文件在自定义HTTP URL指定依赖项，从而允许操作者动态修改恶意代码并绕过检查。

虽然这些软件包最初被识别为PhantomRaven攻击活动的一部分，但应用安全公司在更新中指出，它们是由一名安全研究员作为合法实验的一部分制作的，该公司质疑了这一说法，并引用了三个危险信号。这包括库收集的信息远超必要、不向用户提供透明度，以及通过故意轮换的账户名和电子邮件地址发布。

截至2026年3月12日，软件包的所有者进行了额外更改，将三个月期间发布的一些npm软件包通过数据收集载荷替换为简单的"Hello, world!"消息。

Endor Labs表示："虽然移除收集大量信息的代码当然值得欢迎，但这也突出了与URL依赖相关的风险。当软件包依赖托管在npm注册表外的代码时，作者在不发布新软件包版本的情况下保留对载荷的完全控制。通过修改服务器上的单个文件或者简单地关闭它，他们可以静默地改变或禁用每个依赖软件包的行为。"

Q&A

Q1：GlassWorm攻击活动是什么？主要攻击目标是谁？

A：GlassWorm是一个持续进行的恶意软件攻击活动，专门渗透Microsoft Visual Studio Marketplace和Open VSX平台，通过恶意扩展程序窃取开发者的机密信息、盗取加密货币钱包，并滥用被感染的系统作为其他犯罪活动的代理。主要攻击目标是软件开发者。

Q2：这次GlassWorm攻击有什么新的特点？

A：最新变种使用extensionPack和extensionDependencies功能，将看似无害的扩展程序转变为恶意载荷投递载体。攻击者先上传无害扩展通过审查，然后更新它来拉取恶意扩展。此外还具有更强的混淆性，轮换Solana钱包以逃避检测。

Q3：开发者如何防范GlassWorm等供应链攻击？

A：开发者应该仔细审查扩展程序的依赖关系，特别关注extensionPack和extensionDependencies中列出的扩展。避免安装来源不明的扩展程序，定期检查已安装扩展的更新内容，使用安全工具扫描代码库中的不可见Unicode字符等隐藏恶意代码。