GlassWorm 惡意軟件攻擊活動近期發(fā)起第四波攻勢，意軟通過惡意 VSCode/OpenVSX 插件針對 macOS 開發(fā)者實施攻擊，變種包瞄投放植入后門的襲植加密貨幣錢包程序。

OpenVSX 插件倉庫與微軟 Visual Studio 應(yīng)用市場中的入后插件，均以開發(fā)工具、門加密錢語言支持或主題皮膚的設(shè)備形式，為兼容 VS Code 的意軟編輯器擴展功能、提升使用效率。變種包瞄

其中，襲植微軟應(yīng)用市場是入后 Visual Studio Code 的官方插件商店；而 OpenVSX 作為一款開源、無廠商綁定的門加密錢替代平臺，主要被不支持或選擇不依賴微軟專有應(yīng)用市場的設(shè)備編輯器所采用。

GlassWorm 惡意軟件最早于 2025 年 10 月侵入上述兩大應(yīng)用市場，意軟藏身于惡意插件中，變種包瞄通過不可見的襲植 Unicode 字符規(guī)避檢測。

該惡意軟件一旦安裝，會竊取 GitHub、npm 及 OpenVSX 賬戶憑證，同時從多款插件中提取加密貨幣錢包數(shù)據(jù)。此外，它還支持通過虛擬網(wǎng)絡(luò)計算（VNC）實現(xiàn)遠程訪問，并可借助 SOCKS 代理將流量路由至受害者設(shè)備。

盡管該攻擊已被公開披露，各類防御措施也隨之加強，但 GlassWorm 仍于 2025 年 11 月初卷土重來，侵入 OpenVSX 平臺，隨后又在 12 月初現(xiàn)身 VS Code 應(yīng)用市場。

GlassWorm 再度入侵 OpenVSX 平臺

研究人員發(fā)現(xiàn)，新一輪 GlassWorm 攻擊活動專門針對 macOS 系統(tǒng)，與此前僅針對 Windows 系統(tǒng)的攻擊模式截然不同。

不同于前兩波攻擊使用的不可見 Unicode 字符，也不同于第三波攻擊采用的編譯型 Rust 二進制文件，最新攻擊將經(jīng) AES-256-CBC 加密的載荷嵌入 OpenVSX 惡意插件的編譯型 JavaScript 代碼中，涉事惡意插件包括：

·studio-velte-distributor.pro-svelte-extension

·cudra-production.vsce-prettier-pro

·Puccin-development.full-access-catppuccin-pro-extension

惡意代碼會在延遲 15 分鐘后再執(zhí)行，此舉大概率是為了規(guī)避沙箱環(huán)境的動態(tài)分析。

在技術(shù)實現(xiàn)上，該惡意軟件不再依賴 PowerShell，轉(zhuǎn)而使用 AppleScript 腳本；持久化機制也不再修改注冊表，而是通過 LaunchAgents 實現(xiàn)。

不過，基于 Solana 區(qū)塊鏈的命令與控制（C2）機制未發(fā)生變化，研究人員還指出，攻擊所使用的基礎(chǔ)設(shè)施也存在重疊。

除了繼續(xù)針對 50 余款瀏覽器加密貨幣插件、開發(fā)者憑證（GitHub、NPM）及瀏覽器數(shù)據(jù)實施竊取外，新版 GlassWorm 還新增了竊取鑰匙串（Keychain）密碼的功能。

此外，其還搭載一項全新攻擊功能：檢測受感染主機上是否安裝有 Ledger Live、Trezor Suite 等硬件加密貨幣錢包應(yīng)用，并將這些應(yīng)用替換為植入后門的惡意版本。