GlassWorm v2 恶意软件

通过Mezo在恶意软件, 窃贼

翻译为：

网络安全研究人员发现了一项大规模恶意攻击活动，该活动涉及托管在 Open VSX 代码库中的数十个 Microsoft Visual Studio Code (VS Code) 扩展程序。这项名为 GlassWorm 的攻击活动旨在窃取开发人员的敏感信息并破坏开发环境。

调查人员发现了 73 个可疑的扩展程序，这些程序模仿合法工具。其中，6 个已被证实为恶意软件，其余的似乎是处于休眠状态的“潜伏”软件包，旨在先获取用户信任，然后再通过更新进行恶意攻击。

所有已识别的扩展程序均于 2026 年 4 月初上传。自 2025 年 12 月 21 日以来，研究人员已将 320 多个恶意工件与更广泛的 GlassWorm 基础设施联系起来。

以下 Open VSX 扩展已被证实有害：

许多隐藏的扩展程序通过域名抢注策略，高度模仿可信的软件包。例如，攻击者使用欺骗性的命名，例如 CEINTL.vscode-language-pack-tr，而不是合法的 Emotionkyoseparate.turkish-language-pack。

为了增强可信度，这些虚假扩展程序还复制了原有的图标和描述。这种“视觉信任”策略通过使软件包看起来真实安全，帮助攻击者自然而然地提高安装量。

研究人员报告称，GlassWorm 的运营者正在积极改进其规避检测的方法。他们不再立即部署恶意软件，而是依赖于休眠软件包和隐藏的传递依赖项，这些依赖项可以在稍后激活。

该攻击活动还利用基于 Zig 的投放器安装托管在 GitHub 上的第二个恶意 VSIX 扩展。一旦执行，该加载器可以将有效载荷传播到安装在同一系统上的多个集成开发环境 (IDE) 中。

该恶意软件能够通过 `--install-extension` 命令识别并感染多个开发者平台，包括：

无论初始感染途径如何，其最终目标始终如一。该恶意软件旨在避开位于俄罗斯的系统，窃取敏感信息，部署远程访问木马（RAT），并秘密安装基于 Chromium 的恶意浏览器扩展程序。

该浏览器扩展程序可以窃取凭据、书签和其他存储数据。在某些变种中，其传播机制隐藏在混淆的 JavaScript 代码中，扩展程序本身仅充当加载器，真正的有效载荷会在激活后下载并执行。

搜索