黑客針對 OpenVSX 生態系統盜取加密錢包

GlassWorm，一個已知的惡意軟件，已在OpenVSX的註冊表中放置了73個有害擴展。黑客利用它來竊取開發者的加密貨幣錢包和其他數據。

安全研究人員發現，已有六個擴展已轉變為活躍的有效載荷。這些擴展被上傳為知名列表的假冒副本，並非有害。根據Socket的報告，壞代碼是在後續更新中出現的。

GlassWorm惡意軟件攻擊加密開發者

2025年10月，GlassWorm首次出現。它使用隱形的Unicode字符來隱藏旨在竊取加密貨幣錢包數據和開發者憑證的代碼。該活動此後擴散到npm包、GitHub存儲庫、Visual Studio Code市場和OpenVSX。

一波攻擊在2026年3月中旬席捲數百個存儲庫和數十個擴展，但其規模引起了人們的注意。一些研究團隊早期就注意到這一活動，並幫助阻止了它。

攻擊者似乎改變了策略。最新一批不會立即嵌入惡意軟件，而是採用延遲激活模型。它先發送一個乾淨的擴展，建立安裝基礎，然後再發送一個有害的更新。

“克隆或冒充的擴展首先發布時沒有明顯的有效載荷，然後在後續更新中傳送惡意軟件，”Socket的研究人員表示。

安全研究人員發現有三種方法可以在這73個擴展中傳送惡意代碼。一種是在程序運行時，利用來自GitHub的第二個VSIX包並通過CLI命令安裝它。另一種方法是載入平台特定的已編譯模塊，如[.]node文件，這些文件包含核心邏輯，包括獲取更多有效載荷的例程。

第三種方法則是使用高度混淆的JavaScript，該腳本在運行時解碼以下載並安裝惡意擴展。它還包含加密或備用的URL來獲取有效載荷。

這些擴展看起來與真實的列表非常相似。

在一個案例中，攻擊者複製了真實擴展的圖標，並給它取了一個幾乎相同的名稱和描述。發布者名稱和唯一標識符是區分它們的關鍵，但大多數開發者在安裝前並不會仔細查看這些信息。

GlassWorm的目標是獲取訪問令牌、加密貨幣錢包數據、SSH密鑰以及開發環境的相關信息。

加密貨幣錢包持續受到黑客攻擊

這一威脅不僅限於加密貨幣錢包。另一個相關事件顯示，供應鏈攻擊可以通過開發者基礎設施擴散。

2026年4月22日，npm註冊表在官方包名@bitwarden/cli@2026.4.0下，托管了一個壞版本的Bitwarden CLI，持續93分鐘。安全公司JFrog發現，該有效載荷竊取了GitHub令牌、npm令牌、SSH密鑰、AWS和Azure憑證，以及GitHub Actions的秘密。

JFrog的分析指出，被攻擊的包修改了安裝鉤子和二進制入口點，以載入Bun運行時並運行一個混淆的有效載荷，無論是在安裝過程中還是在運行時。

根據該公司的記錄，Bitwarden擁有超過50,000家企業和1,000萬用戶。Socket將此次攻擊與Checkmarx研究人員追蹤的一個更大的活動聯繫起來，Bitwarden也確認了這一關聯。

問題的根源在於npm和其他註冊表的運作方式。攻擊者利用了從包發布到內容審查之間的時間差。

Sonatype在2025年發現約454,600個新的惡意包侵入了註冊表。旨在獲取加密資產、DeFi和代幣發行平台的威脅行為者，開始針對註冊表並發布惡意工作流程。

對於安裝了任何這73個被標記的OpenVSX擴展的開發者，Socket建議更換所有秘密並清理開發環境。

接下來要關注的是，剩餘的67個休眠擴展是否會在未來幾天內激活，以及OpenVSX是否會對擴展更新實施額外的審查控制。