GlassWorm 恶意软件在 OpenVSX 潜伏 73 个“待机”扩展以窃取加密钱包

Gate 新闻快讯，4月28日——安全研究人员已在 OpenVSX 的注册表中发现由 GlassWorm 恶意软件植入的 73 个恶意扩展，其中已有 6 个被激活，用于窃取开发者的加密货币钱包和凭据。这些扩展被作为合法上架条目的假冒副本上传，并通过后续更新注入恶意代码。

GlassWorm 最早于 2025 年 10 月出现，使用不可见的 Unicode 字符来隐藏针对加密货币钱包数据和开发者凭据的代码。此后，该活动已扩散至 npm 包、GitHub 仓库、Visual Studio Code 市场以及 OpenVSX。到 2026 年 3 月中旬，一轮大规模攻势影响了数百个仓库和数十个扩展，促使多个安全研究团队介入。攻击者采用延迟激活策略：先分发干净的扩展以建立安装基础，然后通过更新部署恶意软件。Socket 研究人员识别出三种投递方式：通过命令行指令（CLI）从 GitHub 加载第二个 VSIX 包、部署诸如 .node 文件这类平台特定的已编译模块（其中包含核心恶意逻辑），以及使用高度混淆的 JavaScript——在运行时解码以下载并安装恶意载荷。

该威胁不仅限于 OpenVSX。4 月 22 日，npm 注册表曾在官方包名下短暂托管 Bitwarden 的一个恶意 CLI 版本，持续 93 分钟。被攻陷的包窃取了 GitHub 令牌、npm 令牌、SSH 密钥、AWS 和 Azure 凭据，以及 GitHub Actions 的密钥。Bitwarden 面向超过 1,000 万用户，服务于 50,000 多家企业，其已确认该事件与 Checkmarx 研究人员追踪到的一项更大规模活动有关。供应链攻击会利用“包发布”与“内容校验”之间的时间滞后；Sonatype 报告称，2025 年约有 454,600 个恶意包侵入了各类注册表。

Socket 建议：安装了上述任何一款被标记的 OpenVSX 扩展的开发者，应轮换所有密钥并清理开发环境。安全观察者正在关注：未来几天剩余的 67 个休眠扩展是否会被激活，以及 OpenVSX 是否会对扩展更新实施更严格的审查控制。