OpenVSX遭供应链攻击被盗开发者账号传播GlassWorm恶意软件

admin
admin
admin
0
文章
0
评论
2026-02-04 01:29:04 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: OpenVSX遭供应链攻击,黑客盗用开发者账户在四款扩展中植入GlassWorm恶意软件。受感染扩展下载量超2.2万次,恶意软件利用Solana区块链隐匿C2,窃取浏览器数据、加密钱包及开发者凭证。攻击具备非俄语区域规避特征,企业面临云账户接管风险,建议立即更新或移除受影响版本。 综合评分: 88 文章分类: 供应链安全,恶意软件,数据安全,威胁情报

cover_image

Open VSX 遭供应链攻击 被盗开发者账号传播 GlassWorm 恶意软件

HackerNews HackerNews

安全威胁纵横

2026年2月3日 17:47 湖北

高危漏洞

紧急修复指南

RCE Patch

网络安全研究人员披露了一起针对 Open VSX Registry 的供应链攻击详情。在此次攻击中,不明身份的黑客入侵了一位合法开发者的账户资源,借此向下游使用者传播恶意更新。

推测e

01

事件详情

Socket 安全研究员 Kirill Boychenko 在周六发布的报告中表示:“2026 年 1 月 30 日,开发者 oorzc 发布的四款成熟 Open VSX 扩展被推送恶意版本至仓库,版本中嵌入了 GlassWorm 恶意软件加载器。”

“这些扩展此前一直以合法开发者工具的面目出现(部分最早发布于两年多前),在恶意版本发布前,其累计下载量已超过 22,000 次。”

这家供应链安全公司表示,此次攻击涉及该开发者的发布凭证被盗用。Open VSX 安全团队评估认为,事件可能源于令牌泄漏或其他未授权访问方式。目前,恶意版本已从 Open VSX 平台移除。

已确认的受污染扩展列表如下:

  • FTP/SFTP/SSH Sync Tool (oorzc.ssh-tools — 版本 0.5.1)
  • I18n Tools (oorzc.i18n-tools-plus — 版本 1.6.8)
  • vscode mindmap (oorzc.mind-map — 版本 1.0.61)
  • scss to css (oorzc.scss-to-css-compile — 版本 1.3.4)

Socket 指出,这些恶意版本的核心目的是投递 GlassWorm 已知攻击活动相关的加载器恶意软件。该加载器支持运行时解密并执行内嵌恶意代码,采用 EtherHiding 这一愈发被武器化的技术获取命令与控制(C2)端点,最终执行恶意代码窃取苹果 macOS 系统凭证及加密货币钱包数据。

同时,该恶意软件会先对受感染设备进行环境探测,确认设备非俄语区域设置后才会触发执行 —— 这是俄语区背景威胁行为者或其关联组织的常见手法,目的是规避本土法律追责。

该恶意软件窃取的信息类型包括:

  • 来自 Mozilla Firefox 及基于 Chromium 内核浏览器(如 Chrome、Edge 等)的数据(登录凭证、Cookie、浏览历史以及 MetaMask 等钱包扩展插件)
  • 加密货币钱包文件(涉及 Electrum、Exodus、Atomic、Ledger Live、Trezor Suite、Binance 及 TonKeeper)
  • iCloud 钥匙串数据库
  • Safari 浏览器 Cookie
  • Apple 备忘录数据
  • 桌面、文稿及下载文件夹中的用户文档
  • FortiClient VPN 配置文件
  • 开发者凭证(例如 ~/.aws 和 ~/.ssh 目录下的文件)

针对开发者信息的窃取行为带来了严重风险,这可能使企业环境面临云账户被接管及攻击者横向移动的潜在威胁。

Boychenko 表示:“该恶意载荷包含专门的功能模块,用于定位并窃取常见开发工作流中的认证材料,例如检查 npm 配置文件中的 _authToken,以及获取 GitHub 的认证凭证。攻击者借此可访问私有代码仓库、持续集成(CI)系统的密钥以及发布自动化流程。”

此次攻击的一个显著特点是,它与以往观察到的 GlassWorm 攻击模式不同,黑客首次利用了合法开发者的被盗账户来分发恶意软件。在此前的案例中,该攻击活动的幕后黑手主要依赖误植域名和仿冒知名品牌等手段,上传欺诈性扩展进行传播。

Socket 分析称:“攻击者巧妙地融入了正常的开发者工作流程,将恶意代码的执行隐藏在加密且仅运行时解密的加载器之后,并利用 Solana 区块链的备忘录功能作为动态的‘死信箱’,来轮换其攻击基础设施,而无需重新发布扩展。这些设计选择降低了基于静态特征检测的价值,将防御优势转向了行为分析和快速响应能力。”

02

更新说明

Secure Annex 研究员 John Tuckner 告诉 The Hacker News,截至 UTC 时间 2026 年 2 月 2 日早上 6:30,上述扩展中仍有三个可供下载。在本文发稿前,它们已被从 Open VSX 移除,具体是:

  • [email protected]
  • [email protected]
  • [email protected]

Tuckner 表示:“该问题的棘手之处在于,受害者需等待原开发者发布更高版本,才能触发自动更新,即便扩展从应用市场下架,也不会从编辑器中自动卸载。”

转载请注明出处@安全威胁纵横,封面来源于网络;

消息来源:https://thehackernews.com/2026/02/open-vsx-supply-chain-attack-used.html

更多网络安全视频,请关注视频号“知道创宇404实验室”

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全威胁纵横 HackerNews HackerNews《Open VSX 遭供应链攻击 被盗开发者账号传播 GlassWorm 恶意软件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0