資安研究人員發現,持續活動中的 GlassWorm 攻擊鏈再度更新。
攻擊者改用以 Zig 編譯的投遞程式(Zig dropper),企圖在開發者電腦上,擴散感染所有支援 VS Code 擴充套件的整合式開發環境(IDE)。
這次的手法出現在 Open VSX 上一個名為
specstudio.code-wakatime-activity-tracker 的擴充套件。它偽裝成常見的工時統計工具 WakaTime,並已遭下架。研究指出,該擴充套件在 JavaScript 程式碼之外,還夾帶以 Zig 編譯的原生二進位檔。由於這類元件可直接載入 Node.js 執行環境,並在 JavaScript 沙箱之外運作,因此能取得完整的作業系統層級權限。
在 Windows 環境中,擴充套件會落地名為 win.node 的檔案。macOS 則會落地 mac.node,且為通用 Mach-O 格式。這些檔案屬於 Node.js 原生附加元件,本質是以 Zig 撰寫並編譯成共享函式庫。
一旦載入,投遞程式會掃描系統上所有可安裝 VS Code 擴充套件的 IDE,包含 VS Code 與 VS Code Insiders,及 VSCodium、Positron 等分支版本,也涵蓋 Cursor、Windsurf 等帶有 AI 功能的程式開發工具。接著,投遞程式會從攻擊者控制的 GitHub 帳號下載惡意 VS Code 擴充套件(.VSIX)。該擴充套件名稱為 floktokbok.autoimport,並冒用在官方市集有大量安裝量的 steoates.autoimport。
最後,攻擊者會將下載的 .VSIX 寫入暫存路徑,並透過各 IDE 的命令列安裝器(CLI installer)在背景靜默安裝至所有目標 IDE。第二階段擴充套件會扮演投遞器,包含避免在俄羅斯系統執行的邏輯,並透過 Solana 區塊鏈取得指揮控制(C2)伺服器資訊,進一步外傳敏感資料,並安裝遠端存取木馬(RAT)。最終階段則會部署具資訊竊取能力的 Google Chrome 擴充套件。
若曾安裝 specstudio.code-wakatime-activity-tracker 或 floktokbok.autoimport,建議視為已遭入侵,並立即處置。
- 立刻移除可疑擴充套件,並檢查所有 IDE 的擴充套件清單與安裝紀錄
- 立即更換所有可能已外洩的密鑰與權杖,例如 API Key、雲端憑證、存取 Token、SSH Key
- 盤點開發機與 CI 環境的憑證使用狀況,並加強最小權限與偵測告警
相關文章:GlassWorm惡意軟體重返OpenVSX平台,三款VSCode擴充套件下載量破萬
本文轉載自 TheHackerNews。