导语:GlassWorm背后的同一批威胁者已转向GitHub平台,他们采用相同的Unicode隐写术技巧隐藏恶意负载。
目前,Open VSX代码仓库已轮换访问令牌——此前开发者在公共代码库中意外泄露了这些令牌,导致威胁者得以通过供应链攻击发布恶意扩展程序。
此次泄露由Wiz公司研究人员于两周前发现,他们当时报告称,微软VSCode和Open VSX应用市场共暴露了550余个敏感信息。
据悉,其中部分敏感信息可用于访问下载量达15万次的项目,使威胁者能够上传恶意版本的扩展程序,造成严重的供应链安全风险。
Open VSX由Eclipse基金会主导开发,是微软Visual Studio应用市场的开源替代方案,后者为VSCode集成开发环境(IDE)提供扩展程序。 Open VSX作为社区驱动的代码仓库,提供与VSCode兼容的扩展程序,供无法使用微软平台的人工智能驱动衍生工具(如Cursor和Windsurf)使用。
GlassWorm恶意软件 campaign
泄露的部分令牌在数日后被用于一场名为“GlassWorm”的恶意软件攻击活动。Koi Security研究人员报告称,GlassWorm将一款自我传播型恶意软件隐藏在不可见的Unicode字符中,试图窃取开发者凭证,并在所有可触及的项目中引发连锁性数据泄露。这些攻击还针对49个扩展程序中的加密货币钱包数据,表明攻击者的动机可能是获取经济利益。
Open VSX团队及Eclipse基金会发布博客文章回应此次攻击活动与令牌泄露事件,称GlassWorm实际上并不具备自我复制能力,但确实以开发者凭证为攻击目标。
Open VSX团队澄清道:“涉事恶意软件旨在窃取开发者凭证,进而扩大攻击者的影响范围,但它不会自主通过系统或用户设备传播。”报告中提到的3.58万次下载量高估了实际受影响用户数量,其中包含攻击者利用机器人和提升曝光度的手段制造的虚假下载量。”
尽管如此,事件在接到通知后迅速得到控制。截至10月21日,所有恶意扩展程序已从Open VSX代码仓库中移除,相关访问令牌也已完成轮换或撤销。
Open VSX目前已确认,事件已完全得到控制,无持续影响,且计划实施额外安全措施以防范未来攻击。
四、后续安全强化措施
此次将实施的安全增强措施如下:
1. 缩短令牌有效期,降低泄露后的影响范围;
2. 推出更快速的泄露凭证撤销流程;
3. 扩展程序发布时进行自动化安全扫描;
4. 与VSCode及其他应用市场合作,共享威胁情报。
需要注意的是,有媒体向Eclipse基金会发送邮件,询问总共轮换了多少个令牌,但截至目前尚未收到回应。
与此同时,Aikido公司报告称,GlassWorm背后的同一批威胁者已转向GitHub平台,他们采用相同的Unicode隐写术技巧隐藏恶意负载。
研究人员表示,该攻击活动已扩散至多个代码仓库,其中大部分集中在JavaScript项目。此次转向GitHub表明,该威胁仍在活跃,在被曝光后迅速在开源生态系统中转移攻击目标。
文章翻译自:https://www.bleepingcomputer.com/news/security/open-vsx-rotates-tokens-used-in-supply-chain-malware-attack/如若转载,请注明原文地址
