摘要:
钠斯网络专注于直播系统源码开发,支持私有化部署与自建流媒体,产品涵盖短视频系统、语聊系统、教育直播、直播带货、体育赛事直播、IM即时通讯系统等,提供全套解决方案与源码交付,助力企业... GlassWorm 坏心软件报复活动近期发起第四波攻势听证系统直播终端在哪,通过坏心 VSCode/OpenVSX 插件针对 macOS 开辟者实施报复,投放植入后门的加密货币钱包样式。
OpenVSX 插件仓库与微软 Visual Studio 期骗市聚积的插件,均以开辟器具、讲话维持或主题皮肤的样式,为兼容 VS Code 的剪辑器膨胀功能、晋升使用效果。
其中,微软期骗市集是 Visual Studio Code 的官方插件商店;而 OpenVSX 行为一款开源、无厂商绑定的替代平台,主要被不维持或遴荐不依赖微软特有期骗市集的剪辑器所接管。
GlassWorm 坏心软件最早于 2025 年 10 月侵入上述两大期骗市集,容身于坏心插件中,通过不能见的 Unicode 字符遮掩检测。
该坏心软件一朝安设,会窃取 GitHub、npm 及 OpenVSX 账户凭据,同期从多款插件中索要加密货币钱包数据。此外,它还维持通过诬捏相聚盘算(VNC)完了辛勤打听,并可借助 SOCKS 代理将流量路由至受害者诞生。
尽管该报复已被公开露出,万般督察方法也随之加强,但 GlassWorm 仍于 2025 年 11 月初卷土重来,侵入 OpenVSX 平台,随后又在 12 月初现身 VS Code 期骗市集。
GlassWorm 再度入侵 OpenVSX 平台
陆续东说念主员发现,新一轮 GlassWorm 报复活动挑升针对 macOS 系统,与此前仅针对 Windows 系统的报复方式迥然相异。
不同于前两波报复使用的不能见 Unicode 字符,也不同于第三波报复接管的编译型 Rust 二进制文献,最新报复将经 AES-256-CBC 加密的载荷镶嵌 OpenVSX 坏心插件的编译型 JavaScript 代码中,涉事坏心插件包括:
·studio-velte-distributor.pro-svelte-extension
·cudra-production.vsce-prettier-pro
·Puccin-development.full-access-catppuccin-pro-extension
坏心代码会在蔓延 15 分钟后再扩充,此举大意率是为了遮掩沙箱环境的动态分析。
在技能完了上,该坏心软件不再依赖 PowerShell,转而使用 AppleScript 剧本;捏久化机制也不再修改注册表,而是通过 LaunchAgents 完了。
不外,基于 Solana 区块链的敕令与铁心(C2)机制未发生变化,陆续东说念主员还指出,报复所使用的基础设施也存在重迭。
除了陆续针对 50 余款浏览器加密货币插件、开辟者凭据(GitHub、NPM)及浏览器数据实施窃取外,新版 GlassWorm 还新增了窃取钥匙串(Keychain)密码的功能。
此外,其还搭载一项全新报复功能:检测受感染主机上是否安设有 Ledger Live、Trezor Suite 等硬件加密货币钱包期骗,并将这些期骗替换为植入后门的坏心版块。
用于替换正版硬件钱包的坏心代码
据悉,该功能现在尚无法平常脱手,原因是植入后门的钱包样式会复返空文献。这可能意味着报复者仍在调试针对 macOS 系统的钱包木马,或是干系报复基础设施正处于过渡期。现在,该功能的框架已搭建完成,只需恭候载荷上传即可参预使用。其余坏心功能(凭据窃取、钥匙串打听、数据窃取、捏久化驻留)均保捏皆备可用现象。
现在,其中两款插件已被 OpenVSX 平台平台标志造就,辅导其发布者身份未训导证。
OpenVSX 平台上的 GlassWorm 坏心插件
下载量统计数据显现,这些坏心插件的安设量已超 3.3 万次,但这类数据不时会被要挟组织删改,以此增多文献的实在度。
安全东说念主员提出,已安设上述三款插件的开辟者应立即卸载插件,重置 GitHub 账户密码,拔除 NPM 令牌听证系统直播终端在哪,全面检查系统是否存在感染陈迹,必要时可重装系统。
