GlassWorm恶意软件攻击了GitHub、npm、VSCode和OpenVSX上的400多个代码仓库

GlassWorm 供应链攻击活动卷土重来，发起了一场新的协同攻击，目标是 GitHub、npm 和 VSCode/OpenVSX 扩展上的数百个软件包、存储库和扩展。

Aikido、Socket、Step Security和OpenSourceMalware社区的研究人员本月共同发现了 433 个受 GlassWorm 攻击影响的组件。

使用相同的 Solana 区块链地址进行命令与控制 (C2) 活动、使用相同或功能相似的有效载荷以及共享基础设施，可以证明是同一个威胁行为者在多个开源存储库中运行 GlassWorm 攻击活动。

GlassWorm最早于去年 10 月被发现，攻击者使用“不可见的”Unicode 字符来隐藏恶意代码，从而窃取加密货币钱包数据和开发者凭证。

这场攻击活动持续了多波，并扩展到了微软官方的 Visual Studio Code 应用商店和不受支持的 IDE 使用的 OpenVSX 注册表，这是Secure Annex 的研究员 John Tuckner发现的。

macOS 系统也成为了攻击目标，攻击者植入了针对 Trezor 和 Ledger 的木马客户端，后来又通过被入侵的 OpenVSX 扩展程序攻击了开发者。

然而，最新一波玻璃蠕虫攻击的范围要广泛得多，已经蔓延到：

最初的攻击发生在 GitHub 上，攻击者入侵账户，强制推送恶意提交。

然后，恶意软件包和扩展程序被发布到 npm 和 VSCode/OpenVSX 上，这些程序使用混淆代码（不可见的 Unicode 字符）来逃避检测。

在所有平台上，Solana 区块链每五秒钟查询一次以获取新的指令。根据 Step Security 的数据，在 2025 年 11 月 27 日至 2026 年 3 月 13 日期间，共发生了 50 笔新交易，其中大部分是更新有效载荷 URL。

这些指令以备忘录的形式嵌入到交易中，导致下载 Node.js 运行时环境并执行基于 JavaScript 的信息窃取程序。

该恶意软件的目标是加密货币钱包数据、凭证和访问令牌、SSH 密钥以及开发人员环境数据。

代码注释分析表明，GlassWorm 是由讲俄语的威胁行为者策划的。此外，如果系统检测到俄语区域设置，该恶意软件会跳过执行。然而，这些数据不足以进行可靠的溯源分析。

Step Security 建议直接从 GitHub 安装 Python 包或运行克隆存储库的开发人员，通过在其代码库中搜索标记变量“lzcdrtfxyqiplpd”来检查是否存在入侵迹象，这是 GlassWorm 恶意软件的指标。

他们还建议检查系统中是否存在用于持久化的~/init.json文件，以及主目录中是否存在意外的 Node.js 安装（例如 ~/node-v22*）。

此外，开发人员应在最近克隆的项目中查找可疑的i.js文件，并检查 Git 提交历史记录是否存在异常情况，例如提交者日期明显晚于原始作者日期的提交。

信息来源：BleepingComputer