目前,Open VSX 代码仓库已轮换访问令牌——此前开发者在公共代码库中意外泄露了这些令牌,导致威胁者得以通过供应链攻击发布恶意扩展程序。
此次泄露由 Wiz 公司研究人员于两周前发现,他们当时报告称,微软 VSCode 和 Open VSX 应用市场共暴露了 550 余个敏感信息。
据悉,其中部分敏感信息可用于访问下载量达 15 万次的项目,使威胁者能够上传恶意版本的扩展程序,造成严重的供应链安全风险。
Open VSX 由 Eclipse 基金会主导开发,是微软 Visual Studio 应用市场的开源替代方案,后者为 VSCode 集成开发环境(IDE)提供扩展程序。 Open VSX 作为社区驱动的代码仓库,提供与 VSCode 兼容的扩展程序,供无法使用微软平台的人工智能驱动衍生工具(如 Cursor 和 Windsurf)使用。
GlassWorm 恶意软件 campaign
泄露的部分令牌在数日后被用于一场名为 "GlassWorm" 的恶意软件攻击活动。Koi Security 研究人员报告称,GlassWorm 将一款自我传播型恶意软件隐藏在不可见的 Unicode 字符中,试图窃取开发者凭证,并在所有可触及的项目中引发连锁性数据泄露。这些攻击还针对 49 个扩展程序中的加密货币钱包数据,表明攻击者的动机可能是获取经济利益。
Open VSX 团队及 Eclipse 基金会发布博客文章回应此次攻击活动与令牌泄露事件,称 GlassWorm 实际上并不具备自我复制能力,但确实以开发者凭证为攻击目标。
Open VSX 团队澄清道:" 涉事恶意软件旨在窃取开发者凭证,进而扩大攻击者的影响范围,但它不会自主通过系统或用户设备传播。" 报告中提到的 3.58 万次下载量高估了实际受影响用户数量,其中包含攻击者利用机器人和提升曝光度的手段制造的虚假下载量。"
尽管如此,事件在接到通知后迅速得到控制。截至 10 月 21 日,所有恶意扩展程序已从 Open VSX 代码仓库中移除,相关访问令牌也已完成轮换或撤销。
Open VSX 目前已确认,事件已完全得到控制,无持续影响,且计划实施额外安全措施以防范未来攻击。
四、后续安全强化措施
此次将实施的安全增强措施如下:
1. 缩短令牌有效期,降低泄露后的影响范围;
2. 推出更快速的泄露凭证撤销流程;
3. 扩展程序发布时进行自动化安全扫描;
4. 与 VSCode 及其他应用市场合作,共享威胁情报。
需要注意的是,有媒体向 Eclipse 基金会发送邮件,询问总共轮换了多少个令牌,但截至目前尚未收到回应。
与此同时,Aikido 公司报告称,GlassWorm 背后的同一批威胁者已转向 GitHub 平台,他们采用相同的 Unicode 隐写术技巧隐藏恶意负载。
研究人员表示,该攻击活动已扩散至多个代码仓库,其中大部分集中在 JavaScript 项目。此次转向 GitHub 表明,该威胁仍在活跃,在被曝光后迅速在开源生态系统中转移攻击目标。
