GlassWorm, un logiciel malveillant connu, a inséré 73 extensions nuisibles dans le registre d'OpenVSX. Les pirates informatiques l'utilisent pour voler les portefeuilles de cryptomonnaies des développeurs ainsi que d'autres données.
Des chercheurs en sécurité ont découvert que six extensions étaient déjà devenues des charges utiles actives. Ces extensions avaient été téléchargées en tant que fausses copies de programmes connus et inoffensifs. Selon un rapport de Socket, le code malveillant apparaît dans une mise à jour ultérieure.
Le malware GlassWorm attaque les développeurs de cryptomonnaies
En octobre 2025, GlassWorm est apparu pour la première fois. Ce ver informatique utilisait des caractères Unicode invisibles pour dissimuler un code destiné à voler des données de portefeuilles cryptographiques etdentde développeurs. Depuis, la campagne s'est étendue aux packages npm, aux dépôts GitHub, à la Place de marché de Visual Studio Code et à OpenVSX.
Une vague a touché des centaines de dépôts et des dizaines d'extensions à la mi-mars 2026, mais son ampleur a attiré l'attention. Plusieurs groupes de recherche ont rapidement repéré l'activité et ont contribué à l'enrayer.
Les attaquants semblent avoir modifié leur méthode. La dernière vague d'attaques n'intègre plus le logiciel malveillant immédiatement ; elle utilise un modèle d'activation différée. Elle déploie une extension saine, constitue une base d'utilisateurs, puis envoie une mise à jour malveillante.
« Les extensions clonées ou usurpant l’identité d’autres extensions sont d’abord publiées sans charge utile évidente, puis mises à jour ultérieurement pour diffuser des logiciels malveillants », ont déclaré.
Des chercheurs en sécurité ont découvert trois méthodes pour déployer le code malveillant à travers les 73 extensions. L'une d'elles consiste à utiliser un second package VSIX depuis GitHub pendant l'exécution du programme et à l'installer via des commandes en ligne de commande. Une autre méthode charge des modules compilés spécifiques à la plateforme, tels que des fichiers [.]node, qui contiennent la logique principale, notamment des routines permettant d'obtenir des charges utiles supplémentaires.
Une troisième méthode utilise du JavaScript fortement obscurci qui se décode à l'exécution pour télécharger et installer des extensions malveillantes. Elle propose également des URL chiffrées ou de secours pour récupérer la charge utile.
Ces extensions ressemblent beaucoup à de véritables annonces.
Dans un cas précis, l'attaquant a copié l'icône de l'extension authentique et lui a attribué un nom et une description quasi identiques. Seuls le nom de l'éditeur et l'dentunique permettent de les distinguer, mais la plupart des développeurs ne s'attardent pas sur ces éléments avant l'installation.
GlassWorm est conçu pour récupérer les jetons d'accès, les données des portefeuilles crypto, les clés SSH et les informations sur l'environnement de développement.
Les portefeuilles de cryptomonnaies sont constamment la cible d'attaques de pirates informatiques
La menace ne se limite pas aux portefeuilles de cryptomonnaies. Un autre incident, connexe,dent comment les attaques contre la chaîne d'approvisionnement peuvent se propager à travers l'infrastructure des développeurs.
Le 22 avril, le registre npm a hébergé une version malveillante de l'interface de ligne de commande de Bitwarden pendant 93 minutes sous le nom de package officiel @bitwarden/[email protected]. JFrog, une société de sécurité, a découvert que la charge utile permettait de dérober des jetons GitHub, des jetons npm, des clés SSH, desdent, ainsi que des secrets GitHub Actions.
L'analyse de JFrog a révélé que le package piraté modifiait le hook d'installation et le point d'entrée binaire pour charger l'environnement d'exécution Bun et exécuter une charge utile obfusquée, à la fois pendant l'installation et pendant l'exécution.
D'après les propres données de l'entreprise, Bitwarden compte plus de 50 000 entreprises clientes et 10 millions d'utilisateurs. Socket a établi un lien entre cette attaque et une campagne de plus grande envergure tracpar les chercheurs de Checkmarx, et Bitwarden a confirmé cette connexion.
Le problème réside dans le fonctionnement de npm et d'autres registres. Les attaquants exploitent le délai entre la publication d'un paquet et la vérification de son contenu.
Sonatype a découvert environ 454 600 nouveaux packages malveillants infestant les registres en 2025. Les acteurs malveillants cherchant à accéder à la conservation de cryptomonnaies, à DeFiet aux plateformes de lancement de jetons ont commencé à cibler les registres et à diffuser des flux de travail malveillants.
Pour les développeurs ayant installé l'une des 73 extensions OpenVSX signalées, Socket recommande de renouveler tous les secrets et de nettoyer leurs environnements de développement.
Il faudra ensuite surveiller si les 67 extensions dormantes restantes s'activeront dans les prochains jours et si OpenVSX mettra en œuvre des contrôles de vérification supplémentaires pour les mises à jour des extensions.
