文章总结： 攻击者利用伪造Angular扩展在OpenVSX植入恶意软件，感染超5000台设备。该软件利用Solana区块链建立抗审查C&C设施，窃取开发者凭证及加密货币钱包。其具备地理过滤机制，通过终止浏览器进程窃取数据。攻击者利用区块链交易动态更新基础设施地址，增加了防御难度。 综合评分： 78 文章分类： 恶意软件,威胁情报,供应链安全,数据泄露,网络安全

黑客利用 Open VSX 扩展程序植入复杂的恶意软件，该扩展程序下载量已超过 5060 次

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月31日 09:02 北京

一场危险的恶意软件活动已经渗透到 Open VSX 扩展市场，通过伪造的 Angular 语言服务扩展程序入侵了 5000 多台开发人员工作站。

该恶意软件包伪装成合法的开发工具，将真正的 Angular 和 TypeScript 组件与加密的恶意软件代码捆绑在一起，当开发人员打开 HTML 或 TypeScript 文件时，该恶意软件代码就会激活。

该扩展程序在 Open VSX 市场中运行了两周而未被发现，它把自己包装成 Angular 开发人员值得信赖的生产力工具。

安装完成后，它立即开始使用 AES-256-CBC 加密解密隐藏的有效载荷，并与托管在 Solana 区块链上的命令和控制基础设施建立连接。

这种方法为攻击者提供了持久的、抗审查的通信渠道，安全团队很难将其关闭。

Annex 分析人员在分析 Open VSX 生态系统中的可疑扩展行为后，发现了该恶意软件。

该威胁专门针对 NPM 和 GitHub 的开发者凭证、60 个不同平台上的加密货币钱包以及浏览器存储的身份验证令牌。

地理过滤机制阻止了在俄罗斯系统上的执行，这表明该攻击活动源自讲俄语的威胁组织，旨在逃避国内的起诉。

该恶意软件的功能不仅限于简单的数据窃取。它还会终止浏览器进程以解锁数据库文件，从 VS Code 配置中提取 OAuth 令牌，并实时验证被盗凭据。

被窃取的数据包经过压缩后传输到指挥服务器，当主要渠道不可用时，通过被入侵的谷歌日历链接检索备份基础设施地址。

基于区块链的指挥基础设施

该恶意软件采用一种名为“以太坊隐藏”的技术，通过Solana区块链交易来维持弹性命令和控制操作。

首次激活后，该扩展程序会查询包含交易备注字段中 Base64 编码指令的特定 Solana 钱包地址。

该架构具有以下几个优点：区块链不可篡改性确保配置数据无限期地持续存在，公共 RPC 端点保持高度可用性，攻击者可以在不修改已发布扩展的情况下更新有效载荷 URL。

Solana 钱包地址 BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC 在过去一个月内收到了 10 次配置更新，最近一次修改发生在 2026 年 1 月 28 日。

每次更新都会提供托管加密辅助有效载荷的新服务器地址，使攻击者能够比防御者更快地调整其基础设施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《黑客利用 Open VSX 扩展程序植入复杂的恶意软件，该扩展程序下载量已超过 5060 次》