目前，Open VSX 代码仓库已轮换访问令牌——此前开发者在公共代码库中意外泄露了这些令牌，导致威胁者得以通过供应链攻击发布恶意扩展程序。

此次泄露由 Wiz 公司研究人员于两周前发现，他们当时报告称，微软 VSCode 和 Open VSX 应用市场共暴露了 550 余个敏感信息。

据悉，其中部分敏感信息可用于访问下载量达 15 万次的项目，使威胁者能够上传恶意版本的扩展程序，造成严重的供应链安全风险。

Open VSX 由 Eclipse 基金会主导开发，是微软 Visual Studio 应用市场的开源替代方案，后者为 VSCode 集成开发环境（IDE）提供扩展程序。 Open VSX 作为社区驱动的代码仓库，提供与 VSCode 兼容的扩展程序，供无法使用微软平台的人工智能驱动衍生工具（如 Cursor 和 Windsurf）使用。

GlassWorm 恶意软件 campaign

泄露的部分令牌在数日后被用于一场名为 "GlassWorm" 的恶意软件攻击活动。Koi Security 研究人员报告称，GlassWorm 将一款自我传播型恶意软件隐藏在不可见的 Unicode 字符中，试图窃取开发者凭证，并在所有可触及的项目中引发连锁性数据泄露。这些攻击还针对 49 个扩展程序中的加密货币钱包数据，表明攻击者的动机可能是获取经济利益。

Open VSX 团队及 Eclipse 基金会发布博客文章回应此次攻击活动与令牌泄露事件，称 GlassWorm 实际上并不具备自我复制能力，但确实以开发者凭证为攻击目标。

Open VSX 团队澄清道：" 涉事恶意软件旨在窃取开发者凭证，进而扩大攻击者的影响范围，但它不会自主通过系统或用户设备传播。" 报告中提到的 3.58 万次下载量高估了实际受影响用户数量，其中包含攻击者利用机器人和提升曝光度的手段制造的虚假下载量。"

尽管如此，事件在接到通知后迅速得到控制。截至 10 月 21 日，所有恶意扩展程序已从 Open VSX 代码仓库中移除，相关访问令牌也已完成轮换或撤销。

Open VSX 目前已确认，事件已完全得到控制，无持续影响，且计划实施额外安全措施以防范未来攻击。

四、后续安全强化措施

此次将实施的安全增强措施如下：

1. 缩短令牌有效期，降低泄露后的影响范围；

2. 推出更快速的泄露凭证撤销流程；

3. 扩展程序发布时进行自动化安全扫描；

4. 与 VSCode 及其他应用市场合作，共享威胁情报。 

需要注意的是，有媒体向 Eclipse 基金会发送邮件，询问总共轮换了多少个令牌，但截至目前尚未收到回应。

与此同时，Aikido 公司报告称，GlassWorm 背后的同一批威胁者已转向 GitHub 平台，他们采用相同的 Unicode 隐写术技巧隐藏恶意负载。

研究人员表示，该攻击活动已扩散至多个代码仓库，其中大部分集中在 JavaScript 项目。此次转向 GitHub 表明，该威胁仍在活跃，在被曝光后迅速在开源生态系统中转移攻击目标。