Open VSX令牌泄露引发供应链攻击

近日，Open VSX注册表因开发者意外泄露访问令牌，导致威胁行为者发起供应链攻击，在公共存储库中发布恶意扩展程序。两周前，Wiz研究人员发现Microsoft VSCode和Open VSX市场中超550个机密信息遭泄露，部分秘密可访问下载量达15万次的项目，使攻击者能上传恶意扩展，构成严重供应链风险。Open VSX由Eclipse基金会开发，是微软Visual Studio Marketplace的开源替代方案，为VS Code IDE及兼容分支提供扩展支持。此次事件中，泄露的令牌被用于名为"GlassWorm"的恶意软件攻击，该软件利用不可见Unicode字符隐藏自传播恶意代码，试图窃取开发者凭据并在可访问项目中引发级联漏洞，目标直指49个扩展程序的加密货币钱包数据，动机疑似经济利益。截至10月21日，所有恶意扩展已被删除，相关令牌完成轮换或撤销，事件已完全控制。然而，威胁并未终止。研究人员发现，GlassWorm背后的同一威胁行为者已转移至GitHub，使用相同Unicode隐写术技巧隐藏恶意载荷，攻击范围扩展至多个JavaScript项目代码库。