文章总结： 文档披露针对VSCode插件的GlassWorm供应链攻击。黑客入侵合法账号发布恶意版本，利用EtherHiding技术在区块链隐藏C2指令，窃取AWS密钥及iCloud数据。建议立即手动卸载特定插件，轮换凭证并开启MFA，因编辑器无法自动卸载下架插件，需防范正版账号被盗后的投毒风险。 综合评分： 89 文章分类： 供应链安全,漏洞分析,威胁情报,漏洞预警,安全意识

起底 GlassWorm 攻击：当你的 IDE 插件开始暗地里“开盒”你的 iCloud 和 AWS

原创

Kit Chung Kit Chung

安全圈动向

2026年2月4日 07:55 广东

作为一名在 IT 圈摸爬滚打十几年的“老兵”，我经历过无数次系统迁移和安全加固，但这次看到的案例还是让我有点后怕。

各位搞开发、搞运维的兄弟，请检查一下你的 VS Code 或者 VSCodium 插件列表。就在这两天，Open VSX 社区爆出了一个供应链攻击案例。这不是那种起个“李鬼”名字（Typosquatting）骗下载的小儿科，而是正儿八经的“号被盗了”。

我也大意了：2.2 万下载量的“老伙计”反水了

这次中招的平台是 Open VSX Registry（很多追求开源纯粹性的兄弟在用）。攻击者通过泄露的 Token 或其他手段，直接攻破了一个名为 oorzc 的资深开发者账号。

这个号下的插件可不是什么垃圾代码，有的已经发布两年多了，累计下载量超过 22,000 次。就在 2026 年 1 月 30 日，攻击者发布了恶意版本。

以下这四个插件的特定版本，如果你装了，立刻、马上、手动卸载：

• FTP/SFTP/SSH Sync Tool

  (oorzc.ssh-tools — v0.5.1)

• I18n Tools

  (oorzc.i18n-tools-plus — v1.6.8)

• vscode mindmap

  (oorzc.mind-map — v1.0.61)

• scss to css

  (oorzc.scss-to-css-compile — v1.3.4)

深度拆解：这波“投毒”技术含量有多高？

作为技术人，咱们得看透其背后的套路。这次攻击携带的是 GlassWorm 加载器，其实现逻辑非常狡猾：

1. 极其隐蔽的“EtherHiding”技术

现在的黑客也开始玩“去中心化”了。他们不再把 C2（命令控制中心）地址硬编码在代码里，而是利用一种叫 EtherHiding 的手段。

原理：

攻击者将加密的指令或 IP 放在区块链（比如 Solana）的交易备注（Memo）里。插件运行后去拉取这些动态更新的“死信”，从而绕过传统的静态防火墙检测。你封得了 IP，但你总不能封掉整个区块链吧？

2. 运行时解密，静态扫描全“瞎眼”

恶意代码不是明文存放的，而是嵌入在插件里，只有在运行时才会在内存中解密执行。这意味着市面上大多数扫描源码的工具都会把它当成合法的混淆代码放行。

3. 精准打击：不打“自家人”

代码里竟然还有一套“政治觉悟”：它会先对受害者机器进行画像（Profiling）。如果检测到你是俄罗斯境内的用户或系统环境，它会直接“自毁”不运行。这套路大家懂的都懂，典型的东欧黑客风格——为了规避本国的法律追责。

它的目标：你的“数字资产”一锅端

一旦你的机器被判定为“肥羊”，GlassWorm 就会开始疯狂收割。它不仅仅是偷你的钱，它更想要你的整个开发环境控制权：

• 浏览器数据：

  Chrome、Firefox 里的登录凭证、Cookie，特别是 MetaMask 等钱包插件。

• iCloud 与 Safari：

  连你的 iCloud 钥匙串数据库、Safari Cookie 都不放过。甚至 Apple Notes（备忘录） 里的私密信息也会被抓取。

• 开发者命门：

  这才是最狠的。它会自动扫描 ~/.aws 和 ~/.ssh 目录。

想想看，如果你的生产环境 AWS Key 被拿走，或者 SSH 私钥泄露，那这事儿就不止是重装系统能解决的了。

避坑指南：编辑器删了插件就安全了吗？

这里有一个非常坑爹的技术细节，也是我想提醒各位的：

警惕！ 即使 Open VSX 官方删除了这些恶意插件，你的本地编辑器（VS Code）并不会自动帮你卸载它们。而且，除非原作者找回账号并发布一个更高版本号的干净包，否则你的自动更新机制永远不会触发。

我建议大家这样做：

1. 手动检查：

   检查 .vscode/extensions 目录，确认没有上述版本。

2. 清理凭证：

   如果你中招了，仅仅卸载插件是不够的。建议立即更换所有的 SSH Key、AWS Access Key 以及 GitHub Token。

3. 拥抱 MFA：

   无论是个人的 GitHub 还是公司的生产环境，必须强制开启多因子认证（MFA）。

写在最后，供应链攻击正变得越来越“润物细无声”。以前我们担心的是下载了假插件，现在我们要担心的是“正版插件突然黑化”。

作为 IT 人，咱们手里的开发机就是通往公司内网的“跳板”，保护好自己的账号安全，就是保护好公司的身家性命。

你对这种“正版反水”的攻击怎么看？欢迎在评论区留言交流。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《起底 GlassWorm 攻击：当你的 IDE 插件开始暗地里“开盒”你的 iCloud 和 AWS》