GlassWorm,这种已知的恶意软件,在OpenVSX的注册表中投放了73个有害扩展。黑客利用它窃取开发者的加密钱包和其他数据。安全研究人员发现,已有6个扩展已经转变为活动载荷。这些扩展被上传为知名列表的假冒副本,而实际上并无害。根据Socket的报告,恶意代码会在后续更新中出现。GlassWorm恶意软件攻击加密开发者2025年10月,GlassWorm首次出现。它使用不可见的Unicode字符来隐藏用于窃取加密钱包数据和开发者凭据的代码。此后,该活动已扩散到npm包、GitHub仓库、Visual Studio Code Marketplace以及OpenVSX。2026年3月中旬,一波攻击席卷了数百个仓库和数十个扩展,但其规模引起了人们的关注。数个研究团队早早注意到了相关活动,并帮助阻止了它。攻击者似乎改变了策略。最新一批并不会立刻嵌入恶意软件;相反,它采用延迟激活模型。它先发送一个干净的扩展,用于建立安装基础,然后再发送一个带有恶意内容的更新。Socket的研究人员表示:“克隆或冒充的扩展最初会在没有明显载荷的情况下发布,随后再更新以投递恶意软件。”安全研究人员在这73个扩展中发现了3种投递恶意代码的方式。其中一种是在程序运行时使用来自GitHub的第二个VSIX包,并通过CLI命令进行安装。另一种方法会加载平台特定的已编译模块,例如包含核心逻辑的[.]node文件,其中包括获取更多载荷的例程。第三种方式使用高度混淆的JavaScript,在运行时解码以下载并安装恶意扩展。它还包含用于获取载荷的加密或备用URL。这些扩展看起来与真实列表非常相似。在一个案例中,攻击者复制了真实扩展的图标,并给它起了几乎相同的名称和描述。发布者名称和唯一标识符是区分点,但大多数开发者在安装前不会仔细查看这些信息。GlassWorm旨在获取访问令牌、加密钱包数据、SSH密钥,以及开发者环境相关信息。加密钱包持续受到黑客攻击威胁不止针对加密钱包。另一起相关事件展示了供应链攻击如何通过开发者基础设施在业内扩散。4月22日,npm注册表在官方包名@bitwarden/cli@2026.4.0下托管了Bitwarden的一个恶意CLI版本,持续了93分钟。安全公司JFrog发现,该载荷窃取了GitHub令牌、npm令牌、SSH密钥、AWS和Azure凭据,以及GitHub Actions的密钥(secrets)。JFrog的分析发现,被入侵的包修改了安装钩子和二进制入口点,以在安装期间和运行期间加载Bun运行时,并运行一个混淆的载荷。根据该公司的自身记录,Bitwarden拥有超过50,000家企业和10 million用户。Socket将此次攻击与Checkmarx研究人员追踪的更大规模行动联系起来,而Bitwarden也确认了这种关联。问题的关键在于npm以及其他注册表的运作方式。攻击者利用了包发布之后到其内容被检查之间的时间差。Sonatype发现,2025年约有454,600个新的恶意包侵入了各类注册表。旨在获取加密托管、DeFi以及代币发行平台访问权限的威胁行为者,已经开始针对注册表并发布恶意工作流。对于安装了上述任一73个被标记OpenVSX扩展的开发者,Socket建议轮换所有密钥(secrets),并清理开发环境。接下来要关注的是,未来几天剩余的67个处于休眠状态的扩展是否会激活,以及OpenVSX是否会对扩展更新实施额外的审查控制。你的银行在用你的钱。你得到的只有残羹。观看我们的免费视频,学习如何成为你自己的银行
黑客针对OpenVSX生态系统盗取加密钱包
GlassWorm,这种已知的恶意软件,在OpenVSX的注册表中投放了73个有害扩展。黑客利用它窃取开发者的加密钱包和其他数据。
安全研究人员发现,已有6个扩展已经转变为活动载荷。这些扩展被上传为知名列表的假冒副本,而实际上并无害。根据Socket的报告,恶意代码会在后续更新中出现。
GlassWorm恶意软件攻击加密开发者
2025年10月,GlassWorm首次出现。它使用不可见的Unicode字符来隐藏用于窃取加密钱包数据和开发者凭据的代码。此后,该活动已扩散到npm包、GitHub仓库、Visual Studio Code Marketplace以及OpenVSX。
2026年3月中旬,一波攻击席卷了数百个仓库和数十个扩展,但其规模引起了人们的关注。数个研究团队早早注意到了相关活动,并帮助阻止了它。
攻击者似乎改变了策略。最新一批并不会立刻嵌入恶意软件;相反,它采用延迟激活模型。它先发送一个干净的扩展,用于建立安装基础,然后再发送一个带有恶意内容的更新。
Socket的研究人员表示:“克隆或冒充的扩展最初会在没有明显载荷的情况下发布,随后再更新以投递恶意软件。”
安全研究人员在这73个扩展中发现了3种投递恶意代码的方式。其中一种是在程序运行时使用来自GitHub的第二个VSIX包,并通过CLI命令进行安装。另一种方法会加载平台特定的已编译模块,例如包含核心逻辑的[.]node文件,其中包括获取更多载荷的例程。
第三种方式使用高度混淆的JavaScript,在运行时解码以下载并安装恶意扩展。它还包含用于获取载荷的加密或备用URL。
这些扩展看起来与真实列表非常相似。
在一个案例中,攻击者复制了真实扩展的图标,并给它起了几乎相同的名称和描述。发布者名称和唯一标识符是区分点,但大多数开发者在安装前不会仔细查看这些信息。
GlassWorm旨在获取访问令牌、加密钱包数据、SSH密钥,以及开发者环境相关信息。
加密钱包持续受到黑客攻击
威胁不止针对加密钱包。另一起相关事件展示了供应链攻击如何通过开发者基础设施在业内扩散。
4月22日,npm注册表在官方包名@bitwarden/cli@2026.4.0下托管了Bitwarden的一个恶意CLI版本,持续了93分钟。安全公司JFrog发现,该载荷窃取了GitHub令牌、npm令牌、SSH密钥、AWS和Azure凭据,以及GitHub Actions的密钥(secrets)。
JFrog的分析发现,被入侵的包修改了安装钩子和二进制入口点,以在安装期间和运行期间加载Bun运行时,并运行一个混淆的载荷。
根据该公司的自身记录,Bitwarden拥有超过50,000家企业和10 million用户。Socket将此次攻击与Checkmarx研究人员追踪的更大规模行动联系起来,而Bitwarden也确认了这种关联。
问题的关键在于npm以及其他注册表的运作方式。攻击者利用了包发布之后到其内容被检查之间的时间差。
Sonatype发现,2025年约有454,600个新的恶意包侵入了各类注册表。旨在获取加密托管、DeFi以及代币发行平台访问权限的威胁行为者,已经开始针对注册表并发布恶意工作流。
对于安装了上述任一73个被标记OpenVSX扩展的开发者,Socket建议轮换所有密钥(secrets),并清理开发环境。
接下来要关注的是,未来几天剩余的67个处于休眠状态的扩展是否会激活,以及OpenVSX是否会对扩展更新实施额外的审查控制。
你的银行在用你的钱。你得到的只有残羹。观看我们的免费视频,学习如何成为你自己的银行