10月25日,网络安全公司Koi Security发布报告,披露OpenVSX市场上的VS Code扩展插件中已出现多款携带GlassWorm蠕虫脚本的恶意插件。相关脚本隐蔽性极强,呈现出“一次植入,多重感染”的攻击特点。据统计,受感染的插件已被累计下载约35800次。
据悉,Koi Security最初在市场监测中发现一款名为CodeJoy的插件存在异常网络凭据访问行为,与其宣称的扩展功能完全不符。研究人员在分析源代码时发现,该插件第2行至第7行之间存在大量看似“空白”的内容——实际上这些位置暗藏了不可见的Unicode特殊字符,导致传统人工审查或静态分析工具难以察觉。但对于JavaScript解释器而言,这些“空白”内容恰恰是黑客精心布置的蠕虫脚本,完全可以在用户无感知的情况下静默执行。

脚本运行后,会通过黑客架设的C2服务器下载更多恶意软件,进一步窃取设备存储的NPM、GitHub与Git等关键凭据。攻击者不仅能够随意篡改、公开受害设备上的各类软件包,还能将受感染设备转为代理服务器,发起更大规模的软件供应链攻击,使受害设备沦为黑客犯罪基础设施的组成部分。
对此,安全专家指出,当前开发者生态与扩展市场已成为黑客眼中的高价值目标。开发者和平台方必须全面提升对隐蔽恶意代码的警觉性,建立更严格的安全审查机制。
