摘要：Koi Security 研究人员警告称，GlassWorm 恶意软件已在 Open VSX 注册表中重新出现在 GitHub 存储库中，在从官方市场移除仅几周后，又感染了三个 VS Code 扩展程序。

Koi Security 研究人员警告称，GlassWorm 恶意软件已在 Open VSX 注册表中重新出现在 GitHub 存储库中，在从官方市场移除仅几周后，又感染了三个 VS Code 扩展程序。

10月中旬，黑客通过十几个受感染的扩展程序传播恶意软件，窃取NPM、GitHub和Git的登录凭证。该恶意软件还攻击了49个加密货币扩展程序。10月报告称，这些恶意软件的下载量约为35000次，恶意软件可能通过感染受害系统的其他扩展程序和软件包而进一步传播。

Koi 研究人员现在报告称，11 月 6 日又有三个 VS Code 扩展程序受到感染，总计约有 10,000 次下载：

攻击者利用 Solana 区块链交易更新 C2 地址，而数据泄露服务器保持不变。

Koi 的新报告指出：“我们检测到新一轮 GlassWorm 感染。又有三个扩展程序被攻破。一笔新的 Solana 区块链交易提供了新的 C2 端点。攻击者的基础设施与之前相同，仍然完全可用。”

研究人员攻破了攻击者的服务器，发现受害者遍布全球，其中包括一家重要的中东政府机构。GlassWorm 病毒目前正威胁着关键基础设施，它通过开发者生态系统传播，并利用人工智能生成的提交信息从 OpenVSX 跳转到 GitHub，以此隐藏其恶意代码。

Koi报告称，攻击者窃取了受害者的凭证，很可能是利用受害者的设备作为代理基础设施。键盘记录器数据显示，一名讲俄语的攻击者使用了RedExt C&C服务器、多个加密货币交易所和即时通讯平台。

这三个 OpenVSX 扩展程序都使用了隐藏的 Unicode 恶意软件，这些恶意软件伪装成 JavaScript 代码运行，在编辑器中显示为空白。Koi 已通知执法部门，但此次攻击活动的影响范围可能远不止已发现的那些。

2025 年 10 月 31 日，Aikido Security 发现 GlassWorm 已传播到 GitHub，将不可见的 Unicode 恶意软件隐藏在看似合法的 AI 生成的提交中。

通过相同的 Solana 区块链方法传递的有效载荷证实了它是 GlassWorm 蠕虫。攻击者使用窃取的 GitHub 凭证向新的代码库推送恶意提交，证明了该蠕虫具有自我传播的特性。

报告总结道：“GlassWorm 事件表明，对整个软件供应链进行可视化和治理已不再是可选项。当恶意软件可以完全隐形，当蠕虫可以通过窃取的凭证进行自我传播，当攻击基础设施无法被摧毁时，传统的安全工具就远远不够了。”

技术报告：

《GlassWorm：首个使用不可见代码的自传播蠕虫病毒登陆 OpenVSX 应用市场》

《GlassWorm 卷土重来：新一轮攻击来袭，我们揭露了攻击者的基础设施》

来源：会杀毒的单反狗