GlassWorm蠕蟲入侵Open VSX推惡意更新攻擊Mac用戶

最近一段時間，專門利用 Visual Studio Code（VS Code）擴展套件進行傳播的蠕蟲 GlassWorm 再次發動攻擊，這次從去年 10 月中旬出現以來，短短三個月內已累計經歷了四波攻擊。然而，在最新一波的攻擊中，入侵者的手法再度發生重大改變。他們不再使用自己的市集帳號來推送惡意更新，而是佔用了其他開發團隊的帳號，通過散布帶有 GlassWorm 載入工具的惡意更新進行攻擊。根據資安公司 Socket 指出，該公司在 1 月 30 日於 Open VSX 儲存庫中發現了四個存在問題的擴展套件，這些套件均來自同一個稱為 oorzc 的開發團隊。

這四款被嵌入 GlassWorm 載入工具的惡意套件分別是：oorzc.ssh-tools v0.5.1、oorzc.i18N-Tools-Plus v1.6.8、oorzc.mind-map v1.0.61，以及 oorzc.scss-to-css-compile v1.3.4。這些惡意套件的開發團隊從事相關活動已持續兩年之久，在 GlassWorm 相關元件出現的新版本前，一直處於正常狀態，並且已被下載超過 22,000 次。因此，Socket 公司認為 oorzc 在 Open VSX 上的帳號很有可能遭到駭客入侵並被濫用。

進一步調查發現，駭客利用這些惡意更新推送的多階段載入工具，在執行過程中解密嵌入的程式碼並加以運行。此外， GlassWorm 還會透過區塊鏈平台 Solana 取得指揮控制資訊，這與以往 GlassWorm 攻擊的方式相仿。

值得注意的是，這次的攻擊行動特意排除了來自俄羅斯地區用戶。根據另一個證據，oorzc 團隊也在微軟經營的 VS Code 擴展套件市集中維護著相同四款擴展套件，總下載次數達到 18,000 次。不過，Socket 公司強調，駭客僅竊取了該團隊在 Open VSX 上的憑證，並未波及到 VS Code 擴展套件市集的帳號。

對於這一系列問題，Eclipse 基金會與 Open VSX 資安團隊已根據 Socket 的通知檢查受影響的擴展套件，確認相關活動是因洩漏權杖（Token）而引起的未經授權的套件推送。他們也已停用部分權杖並移除了所有可疑的新版套件。

值得注意的是，這些惡意套件主要針對 macOS 用戶進行攻擊。GlassWorm 具有竊取資訊的能力，可收集多種瀏覽器的 Cookie、上網記錄及存儲的帳密資料。此外，該惡意軟件還能夠訪問 8 種電腦版加密貨幣錢包、鑰匙圈（Keychain）、備忘錄（Apple Notes）、Safari 的個人資料，甚至還會獲取 FortiClient 的 VPN 設定檔案以及用戶的桌面、文件和下載資料夾內容。除竊取上述個人資訊外，GlassWorm 還會嘗試盜取開發人員的身份驗證資源，如 NPM 設定、GitHub 身分驗證資料及 CI 密鑰等。這些操作可能導致企業雲端帳戶被入侵或使攻擊者在企業環境中進行橫向移動。