两个月前，开源Visual Studio Code（VS Code）扩展市场Open VSX出现蠕虫程序GlassWorm，11月初出现第二波攻击，如今又有新一波活动出现，且手法发生变化。

11月30日，安全公司Secure Annex发现新一波攻击行动，共识别出23个恶意VS Code扩展程序。这些扩展程序复制热门扩展的功能，一旦用户安装到电脑，后续在推送更新时便会携带恶意软件。此外，虽然这些扩展主要被用于传播GlassWorm，但Secure Annex不排除同时存在其他攻击活动，也可能通过这些扩展进行。

此次活动的恶意扩展中，有17个上传至VS Code市场，另有7个上传至Open VSX（其中一个同时存在于两个市场）。这些扩展的共同点是，攻击者针对知名开发工具与框架，例如Flutter、Vim、YAML、Tailwind、Svelte、React Native和Vue。在这些扩展成功上架后，攻击者会试图篡改安装次数，使这些恶意扩展在市场搜索结果中排在正版扩展之前，以诱骗用户下载。

与以往相比，本次活动的最大变化是攻击者改用Rust语言编写恶意代码，并通过肉眼无法察觉的Unicode字符将其隐藏在扩展程序中。

回顾此前，GlassWorm已出现两波攻击：第一波出现在10月17日，当时黑客上传了7个恶意扩展，累计被下载约35,800次；随后在11月6日，该蠕虫再次出现，攻击者通过3个恶意扩展进行感染，总计下载约9,700次。