锁定开发者的恶意软件攻击，大部分是通过NPM包与PyPI包进行，近期更出现通过NPM包传播的蠕虫程序。然而，这类威胁现在也盯上了集成开发环境（IDE）工具Visual Studio Code（VS Code）的用户。

近日安全厂商Koi Security披露了一款名为GlassWorm的恶意程序，并指出这是首个出现在OpenVSX市场的蠕虫。该恶意程序的危险之处不仅在于具备蠕虫特性，能够自我感染和扩散，攻击者还使用了无法肉眼识别的Unicode字符，导致恶意代码无法通过IDE工具察觉。此外，攻击者利用Solana区块链搭建C2基础设施，并滥用Google日历服务作为备用C2通道。GlassWorm还具备远程访问木马（RAT）的完整功能，可将被入侵的开发者电脑变成网络犯罪的代理服务器节点。

除此之外，GlassWorm还会窃取受害电脑上的NPM、GitHub以及Git凭证，篡改其他软件包或扩展插件，以发动更广泛的供应链攻击并进一步传播蠕虫；同时，它还能针对49个加密货币钱包的浏览器扩展下手，清空开发者的资产；此外，该恶意程序会在受感染设备上植入SOCKS代理服务器与VNC服务器，目的是将其变为犯罪基础设施，并让攻击者实现完整的远程控制。

这波攻击是如何发生的？10月17日，Koi Security发现OpenVSX市场中有7个VS Code扩展插件已被感染，当时这些插件累计下载量约为35,800次。

但该公司次日发布博客时指出，已有10个OpenVSX扩展插件在传播GlassWorm，且攻击者的C2基础设施已全面运作，被盗取的凭证已被用于感染更多插件。

到了10月19日，GlassWorm的影响范围扩大，已出现在微软运营的Visual Studio Code Marketplace中。

Koi Security最初通过其分析引擎检测到首个异常扩展CodeJoy，原因是该插件存在可疑的网络连接行为和凭证访问机制，而这些行为与其宣称的功能完全无关。

研究人员随后检查其源码，在第2行与第7行之间发现一大段空白区域，但实际上这部分是由不可见或不可打印的Unicode特殊字符组成的代码。Koi Security强调，攻击者并未进行代码混淆，但由于这些异常内容不会在IDE中显示，对审查代码的开发者而言就如同空行或空格，静态分析工具也难以发现异常。然而，JavaScript解释器仍会执行这些隐藏代码——正是这一特性促使Koi Security将其命名为GlassWorm。

经过拆解分析攻击者的代码后，研究人员共发现三种C2通信渠道：Solana区块链、Google日历事件，以及固定IP地址。其中，通过日历事件还会向受害设备部署另一个恶意载荷Zombi，这是一套网络渗透工具集，除前述SOCKS代理和VNC服务器（HVNC）外，还包括WebRTC P2P、BitTorrent DHT等模块，使攻击者能绕过防火墙限制，并下达无法被拦截的指令。

回顾近期网络安全攻击手法，黑客通过开源组件向开发者传播蠕虫程序的情况似乎日益频繁。例如，上个月震惊IT界的软件供应链攻击活动Shai-Hulud中，攻击者以蠕虫方式在两天内感染超过500个NPM包，由于安全公司CrowdStrike也受到影响，引发高度关注。