安全公司Koi Security近日发布了一份令人震惊的安全报告,揭露了OpenVSX平台上多个VS Code扩展被恶意篡改并植入GlassWorm蠕虫脚本的事件。这些被污染的扩展累计下载量高达3.58万次,足以对全球开发者群体构成严重威胁。其中,CodeJoy插件因其异常的网络通信行为率先引起了安全研究人员的注意。
经过深入分析,研究人员发现该插件的源代码第2至第7行之间隐藏着大量精心伪装的不可见Unicode字符。这些看似无害的字符实则为可执行的恶意脚本,能够在用户不知情的情况下静默运行。该脚本会秘密连接远程命令与控制(C2)服务器,下载并执行恶意载荷。更令人担忧的是,它还能窃取用户存储在NPM、GitHub及Git中的凭证信息,并将受感染设备转化为代理节点。这些被劫持的设备将沦为攻击者的跳板,用于发起隐蔽的供应链攻击,对整个开发生态链造成严重破坏。
此类恶意行为揭示了VS Code扩展生态面临的严峻安全挑战。开发者提交的代码往往缺乏严格的审查机制,使得攻击者能够轻易植入隐蔽的恶意脚本。这一事件为扩展平台和开发者敲响了警钟,必须加强代码审查流程和动态监测机制,提升对隐蔽性威胁的识别能力。只有通过多层次的防护体系,才能有效遏制此类攻击手段的扩散,保障开发者工具链的安全。