Tin tức từ Gate, ngày 28 tháng 4 — Các nhà nghiên cứu an ninh đã phát hiện 73 tiện ích mở rộng độc hại do phần mềm độc hại GlassWorm cấy trong sổ đăng ký (registry) của OpenVSX, trong đó có sáu tiện ích đã được kích hoạt để đánh cắp ví tiền mã hóa và thông tin xác thực của nhà phát triển. Các tiện ích mở rộng này được tải lên dưới dạng các bản sao giả mạo của các danh sách hợp pháp, với mã độc được tiêm vào thông qua các bản cập nhật sau đó.

GlassWorm lần đầu xuất hiện vào tháng 10 năm 2025, sử dụng các ký tự Unicode vô hình để ẩn mã nhắm mục tiêu vào dữ liệu ví tiền mã hóa và thông tin xác thực của nhà phát triển. Kể từ đó, chiến dịch đã lan sang các gói npm, kho lưu trữ GitHub, Thị trường Visual Studio Code và OpenVSX. Vào giữa tháng 3 năm 2026, một đợt tấn công lớn đã ảnh hưởng đến hàng trăm kho lưu trữ và hàng chục tiện ích mở rộng, buộc nhiều nhóm nghiên cứu an ninh phải can thiệp. Kẻ tấn công sử dụng chiến lược kích hoạt bị trì hoãn: ban đầu phân phối các tiện ích mở rộng “sạch” để tạo cơ sở cài đặt, trước khi triển khai mã độc thông qua các bản cập nhật. Nhóm nghiên cứu Socket đã xác định ba phương thức phân phối: tải một gói VSIX thứ hai từ GitHub thông qua các lệnh CLI, triển khai các mô-đun đã biên dịch đặc thù theo nền tảng như các tệp .node chứa logic lõi độc hại, và sử dụng JavaScript bị che giấu nặng đến mức khi chạy sẽ giải mã để tải và cài đặt payload độc hại.

Mối đe dọa không chỉ dừng lại ở OpenVSX. Vào ngày 22 tháng 4, sổ đăng ký npm trong một thời gian ngắn đã lưu trữ phiên bản độc hại của CLI Bitwarden dưới đúng tên gói chính thức trong 93 phút. Gói bị xâm phạm đã đánh cắp token GitHub, token npm, khóa SSH, thông tin xác thực AWS và Azure, cùng với các bí mật của GitHub Actions. Bitwarden, đơn vị phục vụ hơn 10 triệu người dùng trên hơn 50.000 doanh nghiệp, xác nhận mối liên hệ với một chiến dịch quy mô rộng hơn được các nhà nghiên cứu Checkmarx theo dõi. Tấn công chuỗi cung ứng khai thác khoảng trễ giữa thời điểm công bố gói và việc xác minh nội dung; Sonatype cho biết có khoảng 454.600 gói độc hại đã xâm nhập các sổ đăng ký trong năm 2025.

Socket khuyến nghị các nhà phát triển đã cài đặt bất kỳ trong 73 tiện ích mở rộng OpenVSX bị gắn cờ nào thì hãy xoay (rotate) toàn bộ bí mật và dọn sạch môi trường phát triển. Các quan sát viên an ninh đang theo dõi liệu 67 tiện ích mở rộng còn lại đang ở trạng thái “ngủ yên” có được kích hoạt trong những ngày tới hay không và liệu OpenVSX có triển khai các cơ chế kiểm duyệt chặt chẽ hơn cho việc cập nhật tiện ích mở rộng hay không.

Xem nguồn

Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo Tuyên bố miễn trừ trách nhiệm.