資安業者Koi Security於10月18日,在Visual Studio Code(VS Code)延伸套件市集Open VSX發現第一個蠕蟲GlassWorm,此惡意程式具備蠕蟲的特質,能夠自我感染及蔓延,而且攻擊者採用了無法肉眼辨識的Unicode字元埋藏惡意程式碼,事隔兩週,Open VSX的營運單位Eclipse基金會公布調查結果,指出這起事故與另一起大規模資料外洩事故有關。
Eclipse基金會近日指出,GlassWorm事故當中攻擊者用來發動攻擊的權杖,與10月15日資安業者Wiz揭露的機敏資訊洩露事故有關。當時Wiz指出,他們在今年2月,發現超過500個VS Code延伸套件曝露各式機敏資料,其中有至少550個憑證或權杖確認是有效資料。這批曝露的資料種類多達67種,主要可區分為三大類型,其中一大部分,是OpenAI、Gemini、Anthropic,以及HuggingFace等AI服務的帳密;再者,他們也發現AWS、GCP,以及GitHub等平臺的帳密資料;除上述各式服務,Wiz也看到MongoDB、Postgres,以及Supabase等多種資料庫的帳密。
經過調查,Eclipse基金會確認有少數的Open VSX套件發布權杖遭到外洩,疑似被用於冒名發布或是竄改套件,其中部分權杖被用於GlassWorm攻擊行動。
而對於GlassWorm這支惡意程式,Eclipse基金會也提出不同的看法,他們認為該惡意程式與一般會自我複製的蠕蟲有所不同,主要功能還是竊取開發人員的各式憑證,使得攻擊者能擴大攻擊範圍,但並未透過系統或是使用者的電腦自主傳播。
再者,Koi Security提及惡意套件下載次數在短短幾天就接近3.6萬次,Eclipse基金會指出這個數字很有可能是攻擊者利用機器人灌水產生,意圖製造套件相當熱門的假象來引誘用戶下載,下載數與實際受影響範圍之間存在明顯落差。針對事故處理的情形,Eclipse基金會表示已在10月21日獲得完全控制,Open VSX沒有惡意套件再度出現的跡象。
儘管Eclipse基金會認為這起資安事故並未如Koi Security揭露的那麼嚴重,不過根據資安新聞網站Bleeping Computer的報導,GlassWorm活動疑似已轉向其他開發平臺。資安業者Aikido指出,他們最早在今年3月,發現有人在NPM套件運用私人使用區(PUA)的Unicode字元隱匿惡意程式碼,10月17日看到7款Open VSX遭駭的延伸套件也出現相同手法;到了10月31日,攻擊者已將重心轉向GitHub。
熱門新聞
2025-12-24
2025-12-26
2025-12-29
2025-12-26
2025-12-29