安全公司Koi Security于10月18日在Visual Studio Code（VS Code）扩展市场Open VSX中发现首个蠕虫程序GlassWorm。该恶意程序具备蠕虫特性，能够自我传播并扩散，攻击者还使用了肉眼无法识别的Unicode字符隐藏恶意代码。两周后，Open VSX的运营方Eclipse基金会公布调查结果，指出此次事件与另一起大规模数据泄露事故有关。

Eclipse基金会近日表示，GlassWorm事件中攻击者所使用的访问令牌，与10月15日安全公司Wiz披露的敏感信息泄露事件相关。当时Wiz指出，他们在今年2月发现超过500个VS Code扩展暴露了各类敏感信息，其中至少550个凭证或令牌被确认为有效。这些泄露的数据类型多达67种，主要可分为三大类：大量为OpenAI、Gemini、Anthropic和HuggingFace等AI服务的账号密码；其次是AWS、GCP和GitHub等平台的凭证；此外还包括MongoDB、PostgreSQL和Supabase等多种数据库的登录信息。

经调查，Eclipse基金会确认有少数Open VSX的扩展发布令牌遭到泄露，疑似被用于冒名发布或篡改扩展，部分令牌已被用于GlassWorm攻击行动。

对于GlassWorm这一恶意程序，Eclipse基金会提出了不同看法，认为其与传统意义上可自我复制的蠕虫有所不同，其主要功能是窃取开发人员的各种凭证，以便攻击者扩大攻击范围，但并未通过系统或用户设备自主传播。

此外，Koi Security曾提及该恶意扩展在短短数天内下载量接近3.6万次，Eclipse基金会指出这一数字很可能是攻击者利用机器人刷量制造的虚假热度，意图诱导用户下载，实际受影响范围远低于下载量所显示的规模。在事件处置方面，Eclipse基金会表示已于10月21日完全掌控局势，Open VSX未再出现恶意扩展。

尽管Eclipse基金会认为此次安全事件的严重程度并未如Koi Security所披露的那样广泛，但根据安全新闻网站Bleeping Computer的报道，GlassWorm活动疑似已转向其他开发平台。安全公司Aikido指出，他们最早在今年3月就发现有人在NPM包中使用私人使用区（PUA）的Unicode字符隐藏恶意代码；10月17日，他们观察到7个被入侵的Open VSX扩展也使用了相同手法；到10月31日，攻击者已将重点转移至GitHub平台。