文章总结： 安全研究员披露针对OpenVSX的供应链攻击，威胁者利用被盗开发者凭证分发携带GlassWorm恶意软件的扩展。该恶意软件专门针对macOS，窃取加密钱包、浏览器数据及开发凭证，并利用区块链技术隐藏C2地址。目前恶意扩展虽已下架，但用户仍需警惕。建议开发者加强账户安全，及时排查感染设备并清理恶意插件。 综合评分： 85 文章分类： 供应链安全,恶意软件,数据安全

Open VSX 供应链攻击通过受陷开发账号传播 GlassWorm

Ravie Lakshmanan Ravie Lakshmanan

代码卫士

2026年2月3日 18:20 北京

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

网络安全研究员披露了针对 Open VSX Registry 的一起供应链攻击，未具名威胁人员攻陷了一名合法开发人员的资源，将恶意更新推送给下游用户。

Socket 公司的安全研究员 Kirill Boychenko 在上周六发布的一份报告中提到，“2026年1月30日，由作者 oorzc 发布的四个 Open VSX 扩展将嵌有 GlassWorm 恶意软件加载器的恶意版本发布到 Open VSX 中。这些扩展此前限制为合法的开发者工具（一些扩展首次发布于两年多以前），恶意版本发布之前在 Open VSX 上的下载量累计超过2.2万次。”

Socket 公司表示，该供应链攻击涉及攻陷开发人员的发布凭据，而 Open VSX 安全团队认为涉及使用被泄露的令牌或其它未授权访问权限。之后恶意版本已从 Open VSX 下架。

这些扩展如下：

• FTP/SFTP/SSH Sync Tool（oorzc.ssh-tools — 版本0.5.1）
• I18n Tools（oorzc.i18n-tools-plus — 版本1.6.8）
• vscode mindmap（oorzc.mind-map — 版本1.0.61）
• scss to css （oorzc.scss-to-css-compile — 版本1.3.4）

研究人员表示，投毒版本只在传播一个与已知攻击活动相关的加载型恶意软件 GlassWorm。该加载器旨在运行时解码并运行嵌入式代码，利用日益武器化的 EtherHiding 技术来获取 C2 端点，最终运行窃取 Apple macOS 凭据和密币钱包数据的代码。

同时，该恶意软件仅在完成对受感染设备的分析后才会激活，并且确认设备不属于俄语区域环境。这种模式常见于源自或关联俄语背景威胁行为者的恶意程序，旨在规避其国内的法律追究。

该恶意软件窃取的信息种类包括：

• 来自Mozilla Firefox及基于Chromium内核浏览器的数据（登录凭证、Cookies、上网记录及MetaMask等钱包扩展程序）
• 加密货币钱包文件（涵盖Electrum、Exodus、Atomic、Ledger Live、Trezor Suite、Binance以及TonKeeper）
• iCloud钥匙串数据库
• Safari浏览器Cookies
• 苹果备忘录数据
• 桌面、文稿及下载文件夹中的用户文档
• FortiClient VPN配置文件
• 开发者凭据（例如~/.aws和~/.ssh目录）

此类针对开发者信息的窃取行为带来严重风险，可能导致企业云账户遭受入侵，并为攻击者提供横向移动渗透的途径。该恶意载荷包含一系列用于定位并提取常规工作流中认证信息的程序，包括检查npm配置中的_authToken以及引用GitHub认证凭证，这些凭证可能提供对私有代码库、持续集成系统密钥和发布自动化流程的访问权限。

此次攻击的一个重要特点是，它与以往观察到的GlassWorm攻击指标存在差异——攻击者利用合法开发者的遭窃账户分发恶意软件。在先前案例中，该活动的幕后威胁行为者主要通过域名仿冒和品牌劫持手段上传欺诈性扩展程序进行传播。

“威胁行动者巧妙融入常规开发者工作流程，将恶意执行隐藏在经加密、运行时解密的加载器之后，并利用Solana链上备忘录作为动态投放点来轮换攻击基础设施，从而避免重新发布扩展程序，”Socket公司安全团队分析称，“这种设计策略降低了静态威胁指标的价值，迫使防御方必须转向行为检测与快速响应机制才能取得优势。”

恶意扩展已下架

安全研究机构Secure Annex的研究员 John Tuckner提到，截至协调世界时2026年2月2日早晨6时30分，前述恶意扩展程序中仍有三个可供下载。截至本文撰写时，这些扩展已从Open VSX平台下架，具体包括：

• [email protected]
• [email protected]
• [email protected]

Tuckner指出，“这种情况尤为棘手，因为受害者必须等待原始开发者发布更高版本的新扩展，才能触发自动更新机制。即使这些扩展已从应用市场移除，它们也不会从编辑器中自动卸载。”

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

黑客发动史上规模最大的 NPM 供应链攻击，影响全球10%的云环境

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

第三方集成应用 Drift OAuth 令牌被用于攻陷 Salesforce 实例，全球700+家企业受影响

AI供应链易遭“模型命名空间复用”攻击

Frostbyte10：威胁全球供应链的10个严重漏洞

PyPI拦截1800个过期域名邮件，防御供应链攻击

PyPI恶意包利用依赖引入恶意行为，发动软件供应链攻击

黑客利用虚假 PyPI 站点钓鱼攻击Python 开发人员

700多个恶意误植域名库盯上RubyGems 仓库

NPM “意外” 删除 Stylus 合法包 全球流水线和构建被迫中断

固件开发和更新缺陷导致漏洞多年难修，供应链安全深受其害

NPM仓库被植入67个恶意包传播恶意软件

在线阅读版：《2025中国软件供应链安全分析报告》全文

NPM软件供应链攻击传播恶意软件

隐秘的 npm 供应链攻击：误植域名导致RCE和数据破坏

NPM恶意包利用Unicode 隐写术躲避检测

Aikido在npm热门包 rand-user-agent 中发现恶意代码

密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥，触发供应链攻击

原文链接

https://thehackernews.com/2026/02/open-vsx-supply-chain-attack-used.html

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan Ravie Lakshmanan《Open VSX 供应链攻击通过受陷开发账号传播 GlassWorm》