10 月衝擊 OpenVSX 與 Visual Studio Code 擴充套件的
GlassWorm 惡意軟體攻擊行動再度捲土重來。攻擊者發布了三款新的 VSCode 擴充套件,下載次數已超過 1 萬次。
GlassWorm 透過 Solana 區塊鏈交易取得攻擊載荷,目標是竊取 GitHub、NPM 與 OpenVSX 的帳號憑證,以及 49 種擴充套件中的加密貨幣錢包資料。這款惡意軟體使用不可見的 Unicode 字元,也就是說這些字元顯示時呈現空白,但執行時會作為 JavaScript 程式碼運行,藉此進行惡意行為。
GlassWorm 首次現蹤是透過微軟 VS Code 與 OpenVSX 市集上的 12 款擴充套件,累計下載次數達 3 萬 5,800 次。不過研究人員認為下載數字可能遭攻擊者灌水,實際影響範圍仍不明確。
OpenVSX 在遭到入侵後,已針對受 GlassWorm 攻擊的帳號進行存取權杖輪替、強化安全措施,並宣布事件結案。
GlassWorm重出江湖
持續追蹤此攻擊行動的 Koi Security 指出,攻擊者已重返 OpenVSX 平台,使用相同的基礎設施,但更新了命令與控制(C2)伺服器與 Solana 交易機制。
三款帶有 GlassWorm 載荷的 OpenVSX 擴充套件分別是:
ai-driven-dev.ai-driven-dev(3,400 次下載)、
adhamu.history-in-sublime-merge(4,000 次下載),以及
yasuyuky.transient-emacs(2,400 次下載)。
Koi Security 表示,這三款擴充套件都使用與原始檔案相同的不可見 Unicode 字元混淆技巧,顯然仍能有效繞過 OpenVSX 新導入的防禦機制。根據 Aikido 稍早的報告,GlassWorm 操作者並未因上個月的曝光而停手,已轉向攻擊 GitHub 平台。這次重返 OpenVSX 顯示攻擊者有意在多個平台上持續運作。
攻擊基礎設施遭曝光
Koi Security 透過匿名線報取得攻擊者伺服器的存取權限,並獲得此攻擊行動受害者的關鍵資料。資料顯示 GlassWorm 的影響範圍遍及全球,受害系統分布於美國、南美洲、歐洲、亞洲,以及中東地區的一個政府單位。
此外,研究人員發現攻擊者使用俄語,並採用開源的 RedExt C2 瀏覽器擴充套件框架。所有資料已提交給執法單位,包括多個加密貨幣交易所與通訊平台的使用者 ID,目前正協調通知受影響的組織。截至目前,這三款帶有 GlassWorm 載荷的擴充套件仍可在 OpenVSX 上下載。
防護建議
- 開發者應立即檢查是否安裝了上述三款可疑的 VSCode 擴充套件,若有安裝請立即移除
- 定期檢視已安裝的擴充套件清單,移除不再使用或來源不明的套件
- 優先選擇經過驗證、下載量大且評價良好的擴充套件
- 若發現 GitHub、NPM 或 OpenVSX 帳號出現異常活動,應立即更換密碼並啟用雙因素驗證
- 組織應建立擴充套件安全審查機制,避免開發人員任意安裝未經驗證的套件
本文轉載自 BleepingComputer。