新型GlassWorm攻击利用被入侵的OpenVSX扩展程序攻击macOS

admin
admin
admin
0
文章
0
评论
2026-03-03 08:30:51 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: RhinoerreportedanewGlassWormmalwarecampaigntargetingmacOSthroughcompromisedOpenVSXextensions.Attackershijackedtheoorzcdeveloperaccount,injectingmaliciouscodeintofourpopularextensionstostealpasswords,cryptocurrencywallets,anddevelopercredentials.GlassWormemploysinvisibleUnicodecharactersforobfuscationandLaunchAgentforpersistence,specificallyavoidingRussiansystems.WhilethemaliciousversionshavebeenremovedbytheEclipseFoundation,developerswhoinstalledthecompromisedversionsmustthoroughlycleantheirsystemsandrotateallsensitivekeysandpasswordstomitigaterisks. 综合评分: 83 文章分类: 恶意软件,供应链安全,终端安全,漏洞预警

cover_image

新型 GlassWorm 攻击利用被入侵的 OpenVSX 扩展程序攻击 macOS

Rhinoer Rhinoer

犀牛安全

2026年2月18日 00:01 北京

一种名为 GlassWorm 的新型恶意软件攻击通过被入侵的 OpenVSX 扩展程序,专门窃取 macOS 系统中的密码、加密钱包数据以及开发人员凭据和配置。

攻击者获得了合法开发者(oorzc)的帐户访问权限,并将带有 GlassWorm 有效载荷的恶意更新推送至四个已被下载 22,000 次的扩展程序。

GlassWorm攻击最早出现于10月下旬,它利用“不可见”的Unicode字符隐藏恶意代码,窃取加密货币钱包和开发者账户信息。该恶意软件还支持基于VNC的远程访问和SOCKS代理。

随着时间的推移和多波攻击,GlassWorm 不仅影响了微软官方的 Visual Studio Code 应用商店,还影响了其针对不受支持的 IDE 的开源替代方案 OpenVSX。

在之前的攻击活动中,GlassWorm 展现出了进化的迹象,盯上了 macOS 系统,其开发者正在努力为 Trezor 和 Ledger 应用添加替代机制。

Socket 安全团队发布的一份新报告描述了一项新的攻击活动,该活动利用木马技术入侵以下扩展程序:oorzc.ssh-tools v0.5.1oorzc.i18n-tools-plus v1.6.8oorzc.mind-map v1.0.61oorzc.scss-to-css-compile v1.3.4

恶意代码于1月30日推送,Socket报告称这些扩展程序在过去两年中一直无害。这表明oorzc账户很可能是被GlassWorm攻击者入侵的。

研究人员表示,此次攻击活动专门针对 macOS 系统,从 Solana 交易备忘录中提取指令。值得注意的是,俄语系统未被攻击,这可能暗示了攻击者的来源。

GlassWorm 会加载一个 macOS 信息窃取程序,该程序通过 LaunchAgent 在受感染的系统上建立持久性,从而能够在登录时执行。

它会收集 Firefox 和 Chromium 浏览器的数据、钱包扩展和钱包应用程序、macOS 钥匙串数据、Apple Notes 数据库、Safari cookie、开发者密钥以及本地文件系统中的文档,并将所有内容泄露到攻击者位于 45.32.150[.]251 的基础架构中。

Socket 将这些软件包报告给了 Open VSX 平台的运营商 Eclipse 基金会,安全团队确认了未经授权的发布访问权限,撤销了令牌,并删除了恶意版本。

唯一的例外是oorzc.ssh-tools,由于发现了多个恶意版本,它已从 Open VSX 中完全移除。

目前市面上受影响的扩展程序版本是干净的,但下载了恶意版本的开发者应该对系统进行全面清理,并轮换所有密钥和密码。

信息来源:BleepingComputer

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:犀牛安全 Rhinoer Rhinoer《新型 GlassWorm 攻击利用被入侵的 OpenVSX 扩展程序攻击 macOS》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
2026春晚新主角:机器人+AI 网络安全文章

2026春晚新主角:机器人+AI

文章总结: 2026年春晚成为科技展示舞台,聚焦具身智能、AI工业化和智慧出行三大热点。宇树、魔法原子等六家机器人企业展示了人形和四足机器人的高难度表演与多机协
03-030 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0