10月25日,安全研究机构Koi+Security披露了一个关键发现:OpenVSX平台上已有部分VS+Code扩展插件遭受GlassWorm蠕虫脚本植入。这些恶意插件凭借其高度隐蔽性构成了扩散链条,累计下载量已达约35800次。
研究人员首先从一款名为CodeJoy的插件中察觉到异常网络活动,其实际行为与官方声明的功能描述存在显著差异。在深入解析源代码时,他们注意到第2至第7行之间看似空白区域,实则嵌入了大量不可见的Unicode特殊字符。这类字符在常规审查中极易被忽略,无论是人工检查还是静态扫描工具都难以识别,但JavaScript引擎却会正常解析并执行它们,从而激活隐藏的恶意代码逻辑。
一旦触发,该脚本会主动连接攻击者控制的C2服务器并下载后续载荷,进而窃取设备中的NPM、GitHub及Git等关键身份凭证。取得控制权限后,攻击者便可擅自修改或发布受害者的软件包,实现对开发环境的深度渗透。更严峻的是,受感染的设备还可能被配置为代理节点,参与更大规模的供应链攻击,成为攻击网络中的关键环节。
安全团队特别强调,随着开发生态系统的持续扩张,插件市场已成为网络攻击的重点目标。此类利用不可见字符隐藏恶意代码的手法,反映出攻击手段正日趋复杂化。开发者和平台运营方亟需加强对异常代码的检测能力,同时提升对隐蔽性威胁的防范意识。
