桌面服务器云主机

IT之家 12 月 2 日消息，科技媒体 bleepingcomputer 昨日（12 月 1 日）发布博文，Glassworm 恶意软件针对 VS Code 插件生态发起第三波攻击，在 Microsoft Visual Studio Marketplace 和 OpenVSX 两大平台上投放了 24 个新增恶意扩展包。

IT之家曾于 10 月初报道，攻击者利用隐形 Unicode 字符逃避代码审查，伪装成 Flutter、Vim 等热门开发工具，并通过人为刷高下载量混淆视听。

在攻击机制上，Glassworm 展现出极高的危险性。一旦开发者误装这些扩展，恶意软件便会立即运行，窃取受害者的 GitHub、npm 和 OpenVSX 账户凭证，并扫描盗取加密货币钱包数据。

更为严重的是，攻击者会在受害者机器上部署 SOCKS 代理实现路由恶意流量，并安装 HVNC（隐藏虚拟网络计算）客户端。这让攻击者能够绕过常规监控，隐蔽地远程访问受害者计算机，从而进行更深层次的渗透或破坏。

云服务器ecs参数

为了躲避安全审查与用户警觉，Glassworm 采用了多重伪装战术。在技术层面，它继续使用隐形 Unicode 字符将恶意代码隐藏在看似正常的源码中，同时在第三波攻击中引入了 Rust 语言编写的植入程序，进一步增加了分析难度。

在运营层面，攻击者通常在扩展包上架并通过审核后，才推送包含恶意代码的更新。随后，他们会人为刷高下载量，让恶意扩展在搜索结果中排位靠前，甚至紧邻其模仿的正规项目，极具欺骗性。

使用云服务器上网

第三波攻击由安全机构 Secure Annex 的研究员 John Tuckner 发现，他分析指出攻击者的目标范围非常广泛，涵盖了 Flutter、Vim、Yaml、Tailwind、Svelte、React Native 和 Vue 等主流开发框架与工具。

合法包（左）和冒充伪装包（右）

被曝光的恶意包名称极具迷惑性，如 icon-theme-materiall（模仿材质图标主题）、prettier-vsc（模仿代码格式化工具）等，这种李鬼式的命名策略，利用了开发者在搜索安装时的惯性，极易导致误下载。

令人困惑的搜索结果

IT之家附上 VS Marketplace 上恶意包名称如下：

iconkieftwo.icon-theme-materiallprisma-inc.prisma-studio-assistanceprettier-vsc.vsce-prettierflutcode.flutter-extensioncsvmech.csvrainbowcodevsce.codelddb-vscodesaoudrizvsce.claude-devsceclangdcode.clangd-vscecweijamysq.sync-settings-vscodebphpburnsus.iconesvscodeklustfix.kluster-code-verifyvims-vsce.vscode-vimyamlcode.yaml-vscode-extensionsolblanco.svetle-vscevsceue.volar-vscoderedmat.vscode-quarkus-promsjsdreact.react-native-vsce

在 Open VSX 上投放的恶意包名称如下：

bphpburn.icons-vscodetailwind-nuxt.tailwindcss-for-reactflutcode.flutter-extensionyamlcode.yaml-vscode-extensionsaoudrizvsce.claude-devsaoudrizvsce.claude-devscevitalik.solidity

阿里云服务器补丁