隐形字符玩出花区块链当保护伞 GlassWorm恶意软件让开发者集体破防

麻薯滑芝士 · 发表于 5 小时前

各位码农兄弟姐妹们，放下你手里的咖啡，有个事儿得赶紧说道说道。你平时给VS Code精心捯饬的那些插件扩展，可能正悄咪咪把你电脑变成黑客的矿机！这不是演习，安全研究机构刚逮住一个代号“GlassWorm”（玻璃虫）的超级病毒，这玩意儿阴险到什么程度？它能把恶意代码变成“隐形斗篷”藏在插件里，还能像寄生虫一样偷了你的账号去感染更多插件，甚至用上了区块链这种高端操作来跟黑客头子联络。咱今天就好好扒一扒这条“玻璃虫”是怎么在你眼皮底下钻洞的。

攻击现场直击：插件市场已成重灾区
先说说这病毒的老巢在哪儿：OpenVSX（这是个开源VS Code扩展市场）和微软官方的Visual Studio Code Marketplace。这俩地儿对程序员来说就跟手机应用商店一样，找主题、找语法高亮、找AI辅助工具都得去那儿淘。坏就坏在，黑客也盯上这流量宝地了，毕竟能在你开发工具里种木马，偷密码、偷数字货币钱包简直易如反掌。

这次中招的插件名单老长了，安全研究机构Koi Security一共扒出来至少11个OpenVSX上的插件和1个微软市场上的插件带了毒，具体是这些版本号（各位赶紧掏出小本本核对）：

codejoy.codejoy-vscode-extension版本1.8.3和1.8.4（这货是重灾区）
l-igh-t.vscode-theme-seti-folder版本1.2.3
kleinesfilmroellchen.serenity-dsl-syntaxhighlight版本0.3.2
JScearcy.rust-doc-viewer版本4.2.1
SIRILMP.dark-theme-sm版本3.11.4
CodeInKlingon.git-worktree-menu版本1.0.9和1.0.91
ginfuru.better-nunjucks版本0.3.2
ellacrity.recoil版本0.7.4
grrrck.positron-plus-1-e版本0.0.71
jeronimoekardot.color-picker-universal版本2.8.91
srcery-colors.srcery-colors版本0.3.9
微软VS Code市场上的 cline-ai-main.cline-ai-agent版本3.1.3

注意看第一个codejoy插件，它的1.8.3版本被塞了毒，而VS Code插件有个“自动更新”的设定——这意味着只要你以前装过这插件，病毒版本一发布，你电脑静悄悄就中招了，连个确认框都不会弹！研究机构发现最早一批插件是在10月17号被攻破的，之后几天病毒在两大平台持续扩散，累计安装量估计达到了35,800次。到10月27日发稿时，OpenVSX上至少还有4个带毒插件能下载，微软那边倒是手脚快，接到通知就下架了毒插件。

病毒解剖课：GlassWorm的“千层套路”
这病毒为啥说它高级？它玩的花活一套接一套：

第一层：隐形斗篷攻击
它的恶意代码竟然用不可见的Unicode字符写成，在你打开的代码编辑器里，这段代码直接就“消失”了，肉眼根本瞅不见，只有机器能读懂。这简直就是给代码穿了件隐身衣。

第二层：盗窃+自我繁殖
一旦插件运行，它立马开工偷东西：专门盯着你的GitHub账号密码、npm账号、OpenVSX账号，还扫荡49种数字货币钱包插件的数据。更绝的是，它偷到账号后，会利用你的权限去感染你能接触到的其他插件，就像寄生虫产卵一样让病毒自己扩散。

第三层：三重后门保证联络
怎么获取下一步的指令和病毒体？黑客准备了三条线，确保失联不了：

主线路：Solana区块链。病毒内置了一个Solana钱包地址，黑客往这个地址的交易信息里塞进base64编码的网址（交易记录公开可查，但内容难监管），病毒就从这儿取货。用区块链当对讲机，成本低、难追踪、还很难被官方端掉。
备用线路：Google日历。没想到吧？黑客会创建一个Google日历事件，事件标题里就藏着base64编码的网址，病毒会去读取这个标题。这招借鸡生蛋玩得溜。
直连线路：直接连到IP地址217.69.3.218（这IP已被标注为恶意）。

第四层：高级隐身术
病毒还会用BitTorrent的DHT网络（分布式哈希表）来分发命令，这玩意是点对点的，没中心服务器，想掐断都难。

第五层：终极变身——ZOMBI模块
最终，一个高度混淆的JavaScript代码（名叫ZOMBI）会被下载执行。它的作用是把你这台价值不菲的开发机彻底变成黑客网络里的一个“僵尸节点”，替黑客干脏活。同时，病毒还会在你电脑上开SOCKS代理（让黑客用你的网络上网掩人耳目）和安装VNC远程控制客户端（叫HVNC，能无界面远程操控你电脑），相当于把你家房门钥匙和监控摄像头全送人了。

来头不小：供应链攻击的“顶配玩家”
Koi Security给GlassWorm的评价是“迄今为止最复杂的供应链攻击之一”，而且是首个有明确记录的、能像蠕虫一样自我繁殖的VS Code病毒。上个月npm生态刚闹过一场叫“Shai-Hulud”的蠕虫攻击，187个包中招，那个病毒会用TruffleHog工具扫描敏感信息。但跟GlassWorm这一整套组合技比起来，简直是小巫见大巫。

截止到2025年10月26日（周日），GlassWorm的后台指挥服务器和病毒分发服务器还在线呢，当时还有10个带毒扩展在活跃散毒。虽然有些插件作者（比如vscode-theme-seti-folder和git-worktree-menu的维护者）已经更新了干净版本，但威胁远未解除。

求生指南：码农如何自保？
事儿就是这么个事儿，说完了病毒的嚣张，咱得说说怎么防：

检查插件清单：赶紧去你VS Code的扩展页面，对照上面那个名单，看看有没有中招的插件。有的话，立马卸载！
谨慎安装新插件：尤其是名气不大、更新突然很频繁的插件，安装前看看评论和下载量。
关注官方动态：微软和OpenVSX平台肯定会继续清理，多留意安全公告。
提高警惕：别忘了，这种供应链攻击防不胜防，平时代码仓库、服务器账号的密码最好定期改改，开启双因素认证更稳妥。

所以各位程序员大佬，这次真不是危言耸听。你每天打交道的开发工具，已经成了黑客眼中的肥肉。GlassWorm这波操作，堪称是一场教科书级别的黑客炫技。咱们能做的，就是打起十二分精神，管好自己的插件库，可别让辛辛苦苦写的代码，成了黑客的嫁衣。有啥问题，评论区唠起来！