GlassWorm v2 惡意軟體

網路安全研究人員發現了一項大規模惡意攻擊活動，該活動涉及託管在 Open VSX 程式碼庫中的數十個 Microsoft Visual Studio Code (VS Code) 擴充功能。這項名為 GlassWorm 的攻擊活動旨在竊取開發人員的敏感資訊並破壞開發環境。

調查人員發現了 73 個可疑的擴充程序，這些程式模仿合法工具。其中，6 個已被證實為惡意軟體，其餘的似乎是處於休眠狀態的「潛伏」軟體包，旨在先獲取用戶信任，然後再透過更新進行惡意攻擊。

所有已識別的擴充功能均於 2026 年 4 月初上傳。自 2025 年 12 月 21 日以來，研究人員已將 320 多個惡意工件與更廣泛的 GlassWorm 基礎設施連結起來。

已確認的惡意擴充

以下 Open VSX 擴充已被證實有害：

• outsidestormcommand.monochromator-theme
• keyacrosslaud.auto-loop-for-antigravity
• krundoven.ironplc-fast-hub
• boulderzitunnel.vscode-buddies
• cubedivervolt.html-程式碼驗證
• Winnerdomain17.version-lens-tool

透過克隆軟體套件進行社會工程

許多隱藏的擴充功能透過網域搶注策略，高度模仿可信賴的軟體包。例如，攻擊者使用欺騙性的命名，例如 CEINTL.vscode-language-pack-tr，而不是合法的 Emotionkyoseparate.turkish-language-pack。

為了增強可信度，這些虛假擴充功能也複製了原有的圖示和描述。這種「視覺信任」策略透過讓軟體包看起來真實安全，幫助攻擊者自然地提高安裝量。

攻擊者轉向更隱密的傳播技術

研究人員報告稱，GlassWorm 的業者正在積極改進其規避檢測的方法。他們不再立即部署惡意軟體，而是依賴休眠軟體包和隱藏的傳遞依賴項，這些依賴項可以在稍後啟動。

該攻擊活動還利用基於 Zig 的投放器安裝託管在 GitHub 上的第二個惡意 VSIX 擴充功能。一旦執行，該載入器可以將有效載荷傳播到安裝在同一系統上的多個整合開發環境 (IDE) 中。

多個整合開發環境面臨風險

該惡意軟體能夠透過 `--install-extension` 指令識別並感染多個開發者平台，包括：

• Microsoft VS Code
• 游標
• 風帆衝浪
• VSCodium

最終有效載荷設計用於資料竊取和遠端控制

無論初始感染途徑為何，其最終目標始終如一。該惡意軟體旨在避開位於俄羅斯的系統，竊取敏感訊息，部署遠端存取木馬（RAT），並秘密安裝基於 Chromium 的惡意瀏覽器擴充功能。

此瀏覽器擴充功能可以竊取憑證、書籤和其他儲存資料。在某些變種中，其傳播機制隱藏在混淆的 JavaScript 程式碼中，擴充程式本身僅充當載入器，真正的有效載荷會在啟動後下載並執行。