# VSCode扩展供应链攻击演进:从单次投毒到自我复制蠕虫 > 以GlassWorm和Evelyn Stealer为案例,拆解VSCode扩展供应链的攻击演进路径,并给出面向安全团队的工程化防御清单。 ## 元数据 - 路径: /posts/2026/01/22/vscode-extension-supply-chain-attack-evolution/ - 发布时间: 2026-01-22T22:32:05+08:00 - 分类: [security](/categories/security/) - 站点: https://blog.hotdry.top ## 正文 Visual Studio Code的扩展生态正在成为供应链攻击的焦点战场。2025年10月,安全研究人员发现了首个针对VS Code扩展的自我复制蠕虫GlassWorm,这一里程碑事件标志着攻击者已从单次投毒演进到规模化传播。理解这一攻击演进路径,对于安全团队构建有效的防御体系至关重要。 ## 攻击演进的三阶段模型 VS Code扩展供应链攻击经历了清晰的演进过程。第一阶段是静态投毒期,攻击者通过上传恶意扩展至 marketplace,利用开发者的信任心理直接感染目标。这一阶段的典型特征是攻击者需要手动推广恶意扩展,受害范围有限。第二阶段是供应链污染期,攻击者开始瞄准扩展开发者,通过盗取发布令牌或入侵开发者账号,实现对合法扩展的恶意更新分发。Wiz安全团队的研究显示,超过100个VS Code扩展泄露了访问令牌,攻击者可利用这些令牌直接向全部15万安装基础推送恶意更新。第三阶段是自我复制期,以GlassWorm为代表的新型恶意软件具备了自动化传播能力,感染后会窃取NPM令牌、GitHub凭证和OpenVSX访问令牌,并自动利用这些凭证继续感染更多扩展和包,形成蠕虫式的传播链条。 ## GlassWorm的技术解剖 GlassWorm代表了当前扩展供应链攻击的技术巅峰。它采用了多层隐蔽技术来规避检测,其中最值得关注的是不可见Unicode字符注入。恶意代码使用私有使用区(PUA)字符和零宽字符进行编码,这些字符在代码编辑器中完全不可见,即使进行代码审查也几乎无法发现。在命令控制架构上,GlassWorm摒弃了传统的服务器模式,转而利用Solana区块链作为C2基础设施。攻击者将载荷URL嵌入区块链交易的备忘录字段中,形成了一个去中心化、不可篡改的C2网络。这种设计使得传统的C2阻断手段完全失效,因为区块链基础设施无法被关闭。作为备份通道,恶意软件还会使用Google Calendar的公共事件作为辅助C2,利用合法基础设施绕过安全监控。 ## Evelyn Stealer的多阶段投递链 与GlassWorm的传播特性不同,Evelyn Stealer展示了针对开发者的高精度攻击手法。这是一场精心设计的多阶段投递攻击,第一阶段通过钓鱼或恶意广告诱导开发者安装看似无害的VS Code扩展。一旦扩展被激活,恶意代码会释放第二阶段载荷,建立持久化后门。第三阶段开始横向移动,窃取开发者环境中的敏感资产,包括SSH密钥、云服务凭证、GitHub访问令牌以及加密货币相关数据。Trend Micro的分析指出,开发者工作站通常缺乏生产环境级别的安全监控,却存放着大量高价值凭证,这使得开发者成为绕过生产安全防护的理想突破口。 ## 信任模型的系统性脆弱 VS Code扩展生态的脆弱性根植于其信任模型的内在缺陷。Marketplace的"Verified Publisher"徽章仅验证域名所有权,并不意味着代码安全性的任何保证。扩展权限模型采用粗粒度的全有或全无策略,开发者安装时必须授予所有声明的权限,无法针对敏感操作进行细粒度控制。扩展更新机制是另一关键风险点:发布令牌被盗取后,攻击者可以无声息地向所有已安装用户推送恶意更新,整个过程不需要用户任何交互。此外,大量扩展开发者习惯将API密钥、访问令牌等敏感信息硬编码在扩展包中,而扩展文件本质是ZIP压缩包,任何人都可以解压检查这些秘密。 ## 工程化防御清单 面对演进中的威胁,安全团队需要建立多层次的防御体系。在扩展准入环节,应建立企业级扩展白名单,仅允许经过安全审核的扩展安装;使用静态分析工具扫描扩展包的硬编码秘密;监控扩展声明权限与实际行为的差异。在供应链验证环节,发布令牌应存储在专用密钥管理系统中,使用最小权限原则分配;对扩展更新进行代码签名验证;在CI/CD流程中集成扩展安全扫描。在运行时监控环节,部署扩展行为审计机制,监控文件操作、网络请求和敏感API调用;建立扩展进程的沙箱隔离;定期扫描已安装扩展的权限声明变化。在应急响应环节,准备扩展供应链事件的响应预案;建立与 marketplace 运营方的快速沟通渠道;制定扩展回滚和清除的标准操作流程。 VS Code扩展供应链攻击的演进揭示了一个核心趋势:攻击者正在利用开发工具生态的信任链条作为突破点。对于安全团队而言,仅关注生产环境已远远不够,需要将安全边界前移至开发者的编辑器环境,构建覆盖工具链全生命周期的防护体系。 **资料来源:** Veracode威胁研究报告、The Hacker News供应链风险报道、Trend Micro安全分析。 ## 同分类近期文章 ### [微软终止VeraCrypt账户:平台封禁下的供应链安全警示](/posts/2026/04/09/microsoft-terminates-veracrypt-account-platform-lock-risk/) - 日期: 2026-04-09T00:26:24+08:00 - 分类: [security](/categories/security/) - 摘要: 从VeraCrypt开发者账户被终止事件,分析Windows代码签名的技术依赖、平台封禁风险与开发者应对策略。 ### [GPU TEE 远程认证协议在机密 AI 推理中的工程实现与安全边界验证](/posts/2026/04/08/gpu-tee-remote-attestation-confidential-ai-inference/) - 日期: 2026-04-08T23:06:18+08:00 - 分类: [security](/categories/security/) - 摘要: 深入解析 GPU 可信执行环境的远程认证流程,提供机密 AI 推理场景下的工程参数配置与安全边界验证清单。 ### [VeraCrypt 1.26.x 加密算法演进与跨平台安全加固深度解析](/posts/2026/04/08/veracrypt-1-26-encryption-algorithm-improvements/) - 日期: 2026-04-08T22:02:47+08:00 - 分类: [security](/categories/security/) - 摘要: 深度解析 VeraCrypt 最新版本的核心加密算法改进、跨平台兼容性与安全加固工程实践,涵盖 Argon2id、BLAKE2s 及内存保护机制。 ### [AAA 游戏二进制混淆:自研加壳工具的工程现实与虚拟化保护参数](/posts/2026/04/08/binary-obfuscation-in-aaa-games/) - 日期: 2026-04-08T20:26:50+08:00 - 分类: [security](/categories/security/) - 摘要: 解析 AAA 级游戏二进制保护中的自研加壳工具、代码虚拟化性能开销与反调试实现的技术选型。 ### [将传统白帽黑客习惯引入氛围编程:构建 AI 生成代码的防御纵深](/posts/2026/04/08/old-hacker-habits-for-safer-vibecoding/) - 日期: 2026-04-08T20:03:42+08:00 - 分类: [security](/categories/security/) - 摘要: 将传统白帽黑客的安全实践应用于氛围编程,通过隔离环境、密钥管理与代码审计,为 AI 生成代码建立防御纵深,提供可落地的工程参数与清单。