資安界正持續關注一項針對開發者工具生態系統的重大威脅。上個月影響了OpenVSX 和 Visual Studio Code 應用程式市場的GlassWorm惡意軟體活動捲土重來,帶來了三個新的 VSCode 擴充程序,下載量已超過 10,000 次。
GlassWorm 是一種利用 Solana 交易來獲取有效載荷的攻擊活動和惡意軟體,該有效載荷的目標是 GitHub、NPM 和 OpenVSX 帳戶憑證,以及來自 49 個擴充功能的加密貨幣錢包資料。這種攻擊機制極為狡猾,它利用了Solana區塊鏈的去中心化特性來隱藏其命令與控制(C2)基礎設施。透過將惡意酬載的獲取指令或位置隱藏在Solana交易資料中,GlassWorm使得資安分析師難以追蹤其活動的真實來源和目的,顯著提高了其規避偵測的能力。
這波惡意軟體再度鎖定OpenVSX和VS Code擴充功能市場,影響範圍涵蓋全球眾多開發者,凸顯了軟體供應鏈面臨的持續性高風險。開發者們普遍信賴的程式碼編輯器擴充功能,正成為威脅行為者竊取敏感憑證和資產的有效管道。
該惡意軟體使用不可見的 Unicode 字符,這些字符顯示為空白,但會作為JavaScript執行,從而實現惡意操作。這種不可見的 Unicode 字元混淆技巧是GlassWorm用來繞過擴充功能市場安全掃描的重要手段。由於這些字元在視覺上無法被察覺,常規的程式碼審核工具或人工檢查很容易將其忽略,但當這些包含惡意指令的程式碼在用戶的開發環境中作為JavaScript執行時,便會偷偷觸發竊密有效載荷。該惡意軟體最初透過微軟 VS Code 和 OpenVSX 應用程式商店中的 12 個擴充功能出現,下載量達 35,800 次。然而,據信攻擊者誇大了下載量,因此攻擊活動的全部影響尚不清楚。
儘管OpenVSX在上個月的首次攻擊被揭露後,已採取了多項應對措施,包括輪換了被洩露帳戶的存取權杖(Access Tokens)並實施了安全增強,但GlassWorm的再次出現表明這些防禦措施並未能完全阻止攻擊者。追蹤該活動的Koi Security團隊表示,攻擊者利用了與前一波攻擊相同的基礎設施,但更新了命令與控制(C2)端點和Solana交易機制,成功規避了OpenVSX的新防禦。這也反映了威脅行為者對於應用程式市場審核機制的持續偵察和適應能力。
Koi Security告訴BleepingComputer,他們目前已識別出60名不同的受害者,並指出他們僅從一個暴露的終端節點獲取了部分受害者名單。這暗示著GlassWorm活動的實際受害者數量可能遠超此數字,且其全球影響力廣泛,受感染的系統橫跨美國、南美、歐洲、亞洲,甚至包括中東地區的政府實體。
本輪GlassWorm攻擊中發現的三個新的OpenVSX擴充功能,均使用了相同的不可見Unicode字元混淆手法,其中包括:「ai-driven-dev.ai-driven-dev」(下載量約3,400次)、「adhamu.history-in-sublime-merge」(下載量約4,000次),以及「yasuyuky.transient-emacs」(下載量約2,400次)。這些擴充功能的名稱往往模擬常見的開發工具或熱門主題(如AI、歷史記錄、編輯器),以誘騙開發者安裝。
Koi Security透過匿名線報,成功存取了攻擊者的部分伺服器,並獲取了受害者相關的關鍵數據,包括多個加密貨幣交易所和訊息平台的用戶ID,證實了GlassWorm運營者的目標不僅限於開發憑證,還延伸至高價值的加密資產。研究人員還指出,GlassWorm的運營者是俄語使用者,並利用了開源的C2瀏覽器擴充框架RedExt。研究人員已將所有數據與執法部門共享,並正在協調通知受影響組織的計劃。
截至發稿時,攜帶GlassWorm有效載荷的三個擴充功能仍可從OpenVSX下載,這一情況對開發者社區構成了迫切的威脅。這場GlassWorm回歸事件,再次對軟體供應鏈的安全提出了嚴肅質疑,並提醒所有開發者必須對其使用的第三方擴充功能保持高度警惕,並實施嚴格的程式碼和憑證安全管理。
防範建議:
最小權限原則: 避免在重要的開發環境中使用非必要的擴充功能。
憑證隔離: 將重要的API密鑰、雲端憑證或加密貨幣私鑰與日常開發環境隔離。
多因素驗證(MFA): 立即為所有開發平台帳戶(GitHub, NPM, OpenVSX)啟用MFA。
行為監控: 使用安全工具監控擴充功能的可疑行為,特別是檔案讀寫和網路通訊的活動。
資料來源:https://www.bleepingcomputer.com/news/security/glassworm-malware-returns-on-openvsx-with-3-new-vscode-extensions/