上月曾入侵 OpenVSX 与 Visual Studio Code 应用市场的 GlassWorm 恶意软件攻击活动再度回归，此次新增三款携带恶意载荷的 VSCode 扩展，累计下载量已超 1 万次。

GlassWorm 是一套恶意软件攻击体系，通过 Solana 区块链交易获取恶意载荷，攻击目标包括 GitHub、NPM、OpenVSX 平台的账号凭证，以及 49 款扩展程序中的加密货币钱包数据。

该恶意软件利用不可见的 Unicode 字符（显示为空白但可作为 JavaScript 执行）实施恶意操作。

其首次现身时，通过微软 VS Code 与 OpenVSX 应用市场的 12 款扩展传播，下载量达 3.58 万次。不过有观点认为，攻击者人为刷高了下载数据，因此该攻击活动的实际影响范围尚无法确定。

针对此次安全事件，OpenVSX 已为受 GlassWorm 入侵的部分账号（具体数量未披露）轮换访问令牌，实施安全强化措施，并将该事件标记为已解决。

GlassWorm 再度来袭

持续追踪该攻击活动的 Koi Security 表示，攻击者已重返 OpenVSX 平台，沿用原有基础设施，但更新了命令与控制（C2）服务器端点及 Solana 交易信息。

隐藏的有效负载

三款携带 GlassWorm 恶意载荷的 OpenVSX 扩展如下：

- ai-driven-dev.ai-driven-dev — 3400 次下载

- adhamu.history-in-sublime-merge — 4000 次下载

- yasuyuky.transient-emacs — 2400 次下载

Koi Security 指出，这三款扩展均采用与初代恶意文件相同的不可见 Unicode 字符混淆技术，且该技术仍能成功绕过 OpenVSX 新增的防御机制。

正如 Aikido 此前报告所述，GlassWorm 操作者并未因上月的曝光而退缩，已转向 GitHub 平台活动。此次通过新扩展重返 OpenVSX，表明其有意在多平台恢复攻击运营。

攻击基础设施遭曝光

借助匿名线索，Koi Security 成功接入攻击者服务器，获取了该攻击活动受害者的关键数据。检索到的数据显示，GlassWorm 的影响范围遍及全球，受害者系统分布于美国、南美洲、欧洲、亚洲，其中还包括中东地区的一个政府机构。

关于攻击者身份，Koi Security 透露其为俄语使用者，采用 RedExt 开源浏览器扩展 C2 框架开展攻击。

来自暴露端点

研究人员已将所有获取的数据（包括多个加密货币交易所及即时通讯平台的用户 ID）提交给执法部门，并正协调推进受影响机构的通知工作。

Koi Security 透露，目前已确认 60 名独立受害者，同时指出此次仅从一个暴露的端点获取了部分受害者名单。目前，这三款携带 GlassWorm 恶意载荷的扩展仍可在 OpenVSX 平台下载。