當前網絡安全威脅格局與 GlassWorm 興起

在當前高度數位化的開發環境中，整合開發環境（IDE）如 Visual Studio Code (VS Code) 已成為開發者的核心生產力工具。然而，這類工具的開放生態系統也成為了威脅行動者的溫床。GlassWorm 惡意軟體的出現，標誌著針對特定高價值目標——macOS 開發者及加密貨幣持有者——的一場高度精密的攻擊活動。GlassWorm 攻擊活動的第四波目標是 macOS 開發者，他們利用惡意 VSCode/OpenVSX 擴充程式提供加密錢包應用程式的木馬版本。OpenVSX 註冊表和 Microsoft Visual Studio Marketplace 中的擴充功能透過新增開發工具、語言支援或主題等功能和生產力增強功能，擴展了與 VS Code 相容的編輯器的功能。這種信任機制被攻擊者利用，將原本安全的擴充組件轉化為竊取數據的利刃。

惡意擴充功能的傳播途徑與隱蔽技術

GlassWorm 的核心策略在於偽裝。威脅行動者將惡意代碼植入看似合法的擴充功能中，並利用社會工程學手段引誘開發者下載。GlassWorm 惡意軟體於 10 月首次出現在應用程式商店中，它隱藏在惡意擴充功能中，使用「看不見」的 Unicode 字元。這些不可見字元（Invisible Unicode characters）被巧妙地嵌入在程式碼或擴充功能的描述中，用以規避靜態掃描工具的偵測。對於肉眼而言，這些擴充功能與一般工具無異，但其背後隱藏的執行邏輯卻在系統後台悄然運行。這種利用平台審核漏洞的行為，顯示出攻擊者對開發平台運作機制的深入理解。

多層次攻擊載體與數據竊取機制

一旦開發者受騙安裝，GlassWorm 便會展開其多維度的攻擊流程。安裝完成後，該惡意軟體會嘗試竊取 GitHub、npm 和 OpenVSX 帳戶的憑證，以及來自多個擴充功能的加密貨幣錢包資料。對於開發者而言，GitHub 與 npm 憑證的洩露不僅意味著個人數據的損失，更可能導致供應鏈攻擊（Supply Chain Attack），使攻擊者能夠向其管理的開源專案或企業代碼庫中植入惡意代碼。同時，針對加密錢包的木馬化修改，旨在直接盜取數位資產，對受害者造成直接且嚴重的財務損失。

遠端存取與持久性滲透技術

除了數據竊取，GlassWorm 還展現了極強的系統控制能力。此外，它還支援透過 VNC 進行遠端訪問，並可透過 SOCKS 代理將流量路由到受害者的電腦上。這意味著攻擊者不僅能被動地接收數據，還能主動控制受感染的 macOS 系統，觀察開發者的日常操作，甚至利用受害者的機器作為跳板，進一步滲透內網環境。透過 SOCKS 代理轉發流量，攻擊者能隱藏其真實 IP 地址，增加追蹤與溯源的難度，使攻擊行為更加隱蔽。

威脅活動的演進與抗藥性分析

GlassWorm 展示了驚人的生命力與針對性。儘管遭到公開曝光並加強了防禦，GlassWorm 還是在 11 月初在 OpenVSX 上捲土重來，然後在 12 月初又在 VSCode 上再次出現。這表明威脅行動者具有快速迭代代碼的能力，能夠針對平台更新後的安全補丁進行調整。當 BleepingComputer 檢查 OpenVSX 上是否仍存在惡意擴充功能時，該平台對其中兩個擴充功能發出警告，告知其發布者未經驗證。然而，這種警告對於習慣快速安裝工具的開發者來說，往往容易被忽視。

虛假數據與信任機制的瓦解

在擴充功能商店中，安裝次數通常被視為可靠性的指標，但這一機制已被嚴重破壞。下載計數器顯示安裝量超過 33,000 次，但此類數字經常被威脅行為者操縱，以使檔案看起來更值得信賴。這種「刷榜」行為成功地建立了一種虛假的群眾壓力，誘使更多使用者放低戒心。這反映出軟體市場在信任驗證機制上的脆弱性，單純依靠量化指標已不足以評估擴充功能的安全性。

開發者防禦策略與緊急應對指南

面對 GlassWorm 這種高持續性的威脅，開發者必須提升整體的安全意識與系統防護水準。建議已安裝這三個擴充功能中任何一個的開發者立即將其刪除，重設其 GitHub 帳戶密碼，撤銷其 NPM 令牌，檢查其係統是否有感染跡象，或重新安裝。除了緊急補救，長期防禦應包括：啟用雙重認證（2FA）以保護關鍵帳戶、定期審視 VSCode 擴充清單、以及使用具備行為監控功能的端點防護軟體（EDR），以偵測異常的 VNC 連線或代理流量。

總結與未來展望

GlassWorm 活動的持續演進提醒我們，macOS 平台並非絕對的安全避風港，而開發者工具鏈已成為攻擊者繞過企業防禦體系的首選目標。從「看不見」的 Unicode 字元到木馬化的加密錢包，GlassWorm 展示了精確打擊特定族群的技術成熟度。未來的開發安全必須從工具信任轉向「零信任」原則，對於任何第三方擴充功能，無論其安裝量如何，都應保持高度警覺，以確保程式碼資產與個人數位資產的安全。

資料來源：https://www.bleepingcomputer.com/news/security/new-glassworm-malware-wave-targets-macs-with-trojanized-crypto-wallets/