【安全资讯】GlassWorm恶意软件通过OpenVSX扩展攻击macOS系统窃取敏感数据

概要：

网络安全领域再现针对开发者的高级威胁。近期，一种名为GlassWorm的恶意软件通过入侵开源扩展市场OpenVSX，向macOS系统发起定向攻击，旨在窃取密码、加密货币钱包数据及开发者凭证。此次事件波及四个被下载超过2.2万次的扩展，凸显了软件供应链安全在开源生态中的脆弱性，对全球开发者社区构成严重风险。

主要内容：

攻击者通过入侵合法开发者“oorzc”的账户，于1月30日向四个流行的Visual Studio Code扩展推送了包含GlassWorm恶意负载的更新。这些扩展在之前两年内均为无害状态，表明攻击者长期潜伏并最终劫持了该账户。

GlassWorm恶意软件专门针对macOS系统，其核心是一个信息窃取程序。它通过创建LaunchAgent实现持久化，在系统登录时自动执行。该恶意软件会系统性地窃取Firefox和Chromium浏览器的数据、加密货币钱包扩展与应用、macOS钥匙串、Apple Notes数据库、Safari cookies、开发者密钥以及本地文件系统中的文档。

攻击的技术细节显示，恶意代码通过Solana区块链的交易备忘录获取指令，并具有地域选择性——排除了俄语区域系统，这可能暗示了攻击者的来源。所有窃取的数据最终被外泄至攻击者控制的服务器45.32.150[.]251。

安全公司Socket已向OpenVSX平台的运营方Eclipse基金会报告此事，后者确认存在未授权的发布访问，并已撤销令牌、移除了恶意版本。目前市场中的扩展版本已清理，但已下载恶意版本的开发者需彻底清理系统并更换所有密钥与密码。