資安新創Socket於3月13日發布最新研究，揭露GlassWorm惡意軟體家族已感染至少72個Open VSX（Visual Studio Code開源擴充市場）套件，並展現全新隱匿手法：透過「transitive loader delivery」（轉移載入器傳遞），將惡意載入器隱藏在擴充套件的「extensionPack」與「extensionDependencies」宣告中。Socket警告，這代表GlassWorm已從直接感染演進為更難偵測的供應鏈攻擊，對台灣大量使用VS Code與Open VSX的軟體開發者與科技企業構成極高風險。

 

GlassWorm自2025年夏季起針對開發者生態發動大規模攻擊，與Shai-hulud等自傳播蠕蟲同屬一波供應鏈威脅浪潮。該惡意軟體主要目標為Open VSX擴充套件，感染後會竊取NPM、GitHub、Git憑證、加密貨幣錢包、macOS系統資料、瀏覽器資料、鑰匙圈資料庫、Apple Notes、Safari Cookie、VPN設定等高價值資訊。攻擊者利用被竊憑證進一步毒化受害者維護的專案，造成下游感染，形成類似蠕蟲的傳播鏈。

 

Socket研究團隊發現，最新GlassWorm變種保留原有隱匿技巧，包括：

 

但更關鍵的進化在於「轉移載入器」機制：惡意套件本身不直接包含載入器，而是透過「extensionPack」或「extensionDependencies」宣告依賴另一個看似無害的擴充套件，真正惡意載入器藏於被依賴套件中。Socket表示：「使用者可能安裝一個表面乾淨的擴充套件，卻因依賴關係間接感染GlassWorm。這大幅降低惡意元件的可見度，擴大攻擊範圍，並讓手動審核與平台端稽核變得極為困難。」

 

攻擊者還透過人為刷高下載次數（數千次）製造假象，讓套件看起來可信且熱門。Socket已公開部分已識別的惡意擴充清單，並指出Open VSX雖已移除多數轉移式惡意套件，但仍有部分殘留，顯示清理工作仍在進行。研究團隊預計未來數週將再發現逾20個相關擴充，總數可能持續增加。

 

Socket技術威脅研究負責人Philipp Burckhardt強調：「開發工具生態已成為惡意軟體高效散布管道。開發者電腦儲存大量憑證與敏感資料，一旦遭感染，後果極為嚴重。」他呼籲企業採取以下防護措施：

 

對台灣影響深遠。台灣擁有全球最活躍的軟體開發社群與科技新創，VS Code與Open VSX為工程師主流工具。GlassWorm若成功感染台灣開發者，可能導致原始碼外洩、企業憑證被竊、供應鏈專案遭毒化，甚至波及半導體、金融與AI產業核心智慧財產。近期台灣已多次傳出開發環境與開源供應鏈攻擊事件，此波GlassWorm進化應視為最高警戒。

 

Burckhardt總結：「GlassWorm正朝更隱形、更具韌性的傳播模式演進：後版本更新、轉移安裝路徑、更重度混淆、輪換Solana錢包與基礎設施。這類攻擊模式很可能擴散，因為它能將真正惡意元件隱藏在正常擴充管理行為背後。」

 

台灣企業與開發者應立即盤點所有VS Code擴充，優先移除可疑依賴，並將開源工具安全審核提升至最高優先級。供應鏈安全已不再是選修課，而是開發流程的生存底線。

 

 

出處： 基於Dark Reading文章《GlassWorm Malware Evolves to Hide in Dependencies》，作者Alexander Culafi，發布日期2026年3月17日；並參考Socket研究團隊部落格詳細分析、Philipp Burckhardt訪談，以及相關Open VSX惡意擴充與供應鏈攻擊報告。