First Self-Propagating Worm Using Invisible Code Hits OpenVSX and VS Code
7 months ago
- #supply-chain-attack
- #cybersecurity
- #malware
- GlassWorm是首个针对OpenVSX平台VS Code扩展的蠕虫病毒,利用不可见Unicode字符隐藏恶意代码
- 该攻击采用基于区块链的C2基础设施(Solana)和谷歌日历作为备用通道,几乎无法被彻底关闭
- 受感染系统会沦为犯罪网络节点,既充当SOCKS代理服务器,又隐藏VNC服务器实现远程控制
- 蠕虫通过窃取NPM、GitHub和Git凭证进行传播,专门针对49个加密货币钱包扩展
- 已有7个OpenVSX扩展被污染,累计下载量达35,800次,攻击仍在持续扩散中
- 恶意软件运用WebRTC点对点网络、BitTorrent DHT和隐藏虚拟网络控制台(HVNC)等高级技术实现持久隐形控制
- Koi安全团队通过行为分析捕获攻击,发现其采用多层嵌套的复杂C2系统
- 蠕虫的自传播机制利用窃取的凭证感染更多软件包,形成指数级扩散效应
- 当前危害包括凭证窃取、加密货币钱包清空,并将开发者设备转化为犯罪基础设施
- 此次攻击暴露出开源生态系统的安全脆弱性,凸显了部署高级防护措施的必要性