GlassWorm 恶意软件通过 73 个 OpenVSX 休眠扩展卷土重来

GlassWorm 恶意软件通过 73 个 OpenVSX 休眠扩展卷土重来

执行摘要

观察到针对 OpenVSX 扩展注册表的 GlassWorm 恶意软件活动死灰复燃，部署了 73 个休眠扩展，这些扩展最初看起来无害，但在更新后激活恶意行为。根据 BleepingComputer 的报道，该活动利用对开源 Visual Studio Code 扩展的信任，渗透到开发环境中，可能使代码执行、凭证盗窃和横向移动成为可能。休眠策略——扩展在初次审核时通过，但稍后下载恶意有效载荷——对依赖 VS Code 在 CI/CD 管道中的组织构成了重大的供应链风险。

技术分析

GlassWorm 活动利用 OpenVSX，这是一个社区维护的 VS Code 扩展注册表，分发包含在发布时没有恶意代码的扩展。安装和随后的更新后，扩展从远程服务器获取第二阶段有效载荷，执行 GlassWorm 恶意软件。BleepingComputer 报告称，识别出的 73 个扩展模仿合法工具，如主题包、linter 和代码格式化器，以逃避检测。休眠机制绕过了仅扫描初次提交的自动化和手动审核流程。一旦激活，GlassWorm 可以泄露环境变量、SSH 密钥和源代码，并通过计划任务或注册表修改建立持久性。鉴于受损开发环境为企业网络提供的高价值访问权限，该活动似乎特别针对开发人员。

缓解措施与建议

使用 VS Code 的组织应将扩展源限制在 Microsoft Marketplace 或内部策划的注册表，并禁用第三方扩展的自动更新。防御者应根据 OpenVSX 管理员发布的已知恶意列表，审核已安装的扩展，并监控 VS Code 进程的异常出站连接。对于 CI/CD 环境，考虑容器化构建以限制受损扩展的影响范围。由于攻击依赖于社交工程和供应链破坏，而不是软件漏洞，因此没有为此次活动分配特定的 CVE。