【資安快訊】macOS 爆發 GlassWorm 供應鏈攻擊！熱門開發擴充功能遭植惡意代碼，全台開發者緊急清查

全球資安威脅再升級！根據 BleepingComputer 與資安研究團隊 Socket 的最新報告指出，近期一波代號為「GlassWorm」的惡意攻擊正橫掃 macOS 開發者圈。攻擊者採取極為隱蔽的「供應鏈攻擊」手法，透過竄改受信任的 Visual Studio Code（VS Code）擴充功能更新，試圖竊取開發者的 SSH 金鑰、雲端憑證及個人帳密。

信任門戶大開：2.2萬次惡意下載風險

這次攻擊的核心在於開發者日常依賴的工具插件。報導顯示，知名擴充功能作者 oorzc 的發布權限疑似遭到竊取，導致原本正常的工具被替換成含有惡意腳本的版本。由於使用者習慣在更新提示出現時直接點擊，目前惡意版本已累積超過 2.2 萬次下載。

目前已知受影響的擴充功能清單如下，請使用者立即對照檢查：

• • oorzc.ssh-tools (v0.5.1)：因多個版本帶毒，目前已遭平台全面下架

• • oorzc.i18n-tools-plus (v1.6.8)

• • oorzc.mind-map (v1.0.61)

• • oorzc.scss-to-css-compile (v1.3.4)

災情分析：密碼、錢包、SSH 金鑰全面告急

GlassWorm 惡意程式一旦隨更新進入系統，將會執行深度掃描，目標鎖定開發者最具價值的資產：

1. 1. 瀏覽器敏感資料： 包含 Chrome、Safari 內儲存的網站登入資訊。

1. 1. 開發者環境憑證： 儲存於系統中的 AWS/Azure 雲端登入憑證、Git 存取 Token。

1. 1. 核心金鑰： 伺服器遠端連線必備的 SSH 私鑰與加密貨幣錢包相關資料。

專家建議：台灣企業與個人開發者的應變策略

針對此一緊急事件，台灣資安顧問團隊 BHV (bhv.com.tw) 呼籲所有開發者與企業資訊部門應採取以下行動：

• • 立刻移除： 刪除上述清單中的擴充功能。

• • 撤銷權限： 由於金鑰恐已外洩，建議立即更換所有 SSH 私鑰，並重設雲端平台（如 AWS, GitHub）的 API Access Token。

• • 雙重驗證 (2FA)： 確保所有核心服務均開啟二階段驗證，降低密碼外洩後的損害。

防禦升級：Bitdefender 建立「端點＋憑證」雙層防線

單靠傳統防毒軟體已不足以應對精密竄改的供應鏈攻擊。BHV 資深工程師建議，開發者應透過 Bitdefender 建立更主動的防禦體系：

1. 1. Bitdefender Total Security： 提供先進的行為偵測技術，能在惡意程式試圖掃描系統金鑰庫（Keychains）或異常向外傳輸資料時，即時觸發攔截。

1. 1. Bitdefender SecurePass (Password Manager)： 改變將密碼存在瀏覽器的習慣。透過軍級加密的 SecurePass 存管密碼，即使瀏覽器被攻破，核心數據依然具備獨立防線。

BHV 官方表示： 「面對日益精密的資安挑戰，『更新』不應成為風險。BHV 致力於引進 Bitdefender GravityZone 等國際級解決方案，為台灣開發者與企業守住最後一道防線。」

---

欲了解更多 GlassWorm 攻擊細節或預約企業資安診斷，請至 BHV 官網預約專業諮詢 或查看 Bitdefender 全系列產品功能。或者也可以參考Socket 整理。(socket.dev)

---