Message de Gate News, 28 avril — Des chercheurs en sécurité ont identifié 73 extensions malveillantes implantées par le logiciel malveillant GlassWorm dans le registre d’OpenVSX, dont six ont déjà été activées pour voler les portefeuilles de cryptomonnaies et les identifiants des développeurs. Les extensions ont été téléversées sous forme de copies factices d’annonces légitimes, avec des codes malveillants injectés via des mises à jour ultérieures.

GlassWorm est apparu pour la première fois en octobre 2025, en utilisant des caractères Unicode invisibles pour dissimuler du code ciblant les données des portefeuilles crypto et les identifiants des développeurs. La campagne s’est depuis étendue à des packages npm, des dépôts GitHub, le Visual Studio Code Marketplace et OpenVSX. À la mi-mars 2026, une vague majeure a touché des centaines de dépôts et des dizaines d’extensions, conduisant à une intervention de plusieurs groupes de recherche en sécurité. Les attaquants emploient une stratégie d’activation différée : ils distribuent d’abord des extensions propres afin de constituer une base d’installation, avant de déployer le malware via des mises à jour. Les chercheurs de Socket ont identifié trois méthodes de diffusion : charger un second package VSIX depuis GitHub via des commandes CLI, déployer des modules compilés spécifiques à la plateforme comme des fichiers .node contenant une logique malveillante centrale, et utiliser du JavaScript fortement obfusqué qui se décode au moment de l’exécution pour télécharger et installer des charges malveillantes.

La menace dépasse OpenVSX. Le 22 avril, le registre npm a brièvement hébergé une version malveillante de la CLI de Bitwarden sous le nom de package officiel pendant 93 minutes. Le package compromis a volé des jetons GitHub, des jetons npm, des clés SSH, des identifiants AWS et Azure, ainsi que des secrets GitHub Actions. Bitwarden, qui sert plus de 10 millions d’utilisateurs dans plus de 50 000 entreprises, a confirmé le lien avec une campagne plus large suivie par des chercheurs de Checkmarx. Les attaques de la chaîne d’approvisionnement exploitent le décalage temporel entre la publication d’un package et la vérification du contenu ; Sonatype a indiqué environ 454 600 packages malveillants contaminant les registres en 2025.

Socket recommande aux développeurs qui ont installé l’une des 73 extensions OpenVSX signalées de faire tourner tous les secrets et de nettoyer leurs environnements de développement. Les observateurs de la sécurité surveillent si les 67 extensions restantes en veille s’activeront dans les prochains jours et si OpenVSX met en place des contrôles de revue plus stricts pour les mises à jour des extensions.

Afficher la source

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.