73个仿冒扩展潜伏OpenVSX，GlassWorm隐蔽渗透成灾

安全机构披露，名为GlassWorm的恶意软件已向OpenVSX平台投递共计73个伪装成合法工具的恶意扩展程序。这些插件以盗用知名项目名义上传，旨在窃取开发者的数字钱包、访问令牌及敏感环境配置信息。研究团队确认其中六个已具备主动攻击能力，可远程执行恶意指令。

攻击模式迭代：从即时植入到延迟激活

GlassWorm最早于2025年10月现身，其初始阶段即通过隐藏在非打印字符中的编码逻辑，悄然嵌入窃密代码。此后攻击范围迅速扩展至npm包仓库、GitHub代码库、Visual Studio Code市场及OpenVSX等主流开发生态。至2026年3月中旬，已有数百个代码库和数十个扩展被感染，引发业界高度警觉。多个独立研究团队在早期阶段识别异常并协助阻断传播路径。

近期攻击手法发生关键转变：新一批扩展在首次发布时无明显恶意行为，仅作为“正常”工具积累用户基础；待用户安装后，通过后续版本更新注入攻击载荷。据Socket研究人员分析，这种“静默部署”策略极大提升了逃避检测的概率。

三类隐蔽传播路径暴露深层威胁

对涉事扩展的逆向分析揭示三种典型攻击路径：第一种为运行时动态下载第二重安装包，借助命令行接口完成未授权安装；第二种是加载特定平台编译模块，在启动阶段调用内嵌例程获取额外攻击组件；第三种则采用高度混淆的JavaScript脚本，运行时解码并从加密或备用域名拉取恶意内容。

攻击者在外观设计上高度模仿正版项目，包括复刻图标、使用近似名称与描述文本。尽管发布者身份与唯一标识存在差异，但多数开发者在安装前未进行充分核验。该恶意程序专用于提取访问令牌、加密钱包数据、SSH密钥以及本地开发环境配置。

供应链攻击波及核心工具链，影响范围扩大

另一关联事件显示，攻击活动正通过开发者基础设施加速扩散。4月22日，npm注册表中出现假冒的Bitwarden命令行工具，其恶意版本在官方包名下存在长达93分钟。JFrog公司调查发现，该包通过篡改安装钩子与二进制入口点，在运行时注入混淆型攻击载荷，窃取包括GitHub令牌、npm令牌、云服务凭据及GitHub Actions密钥在内的多重敏感信息。

由于Bitwarden服务覆盖超5万家企业及千万级终端用户，此次事件影响深远。Socket将此攻击与Checkmarx追踪的大规模活动建立关联，且官方已确认两者存在技术层面的共源性。

构建防御体系：注册表审查机制亟待强化

当前问题根源部分源于注册表平台在发布审核与内容验证之间的时延窗口。数据显示，2025年全球各包管理平台累计出现约45.46万个新型恶意软件包。越来越多针对加密托管、去中心化金融系统及代币发行平台的攻击者，正将包注册表与自动化工作流视为主要突破口。

建议受影响开发者立即轮换所有密钥凭证，并彻底清理开发环境。同时需密切关注剩余67个尚未激活的扩展状态变化，推动OpenVSX平台引入更严格的更新审查流程，防范潜在二次入侵风险。