Gli hacker hanno inserito 73 estensioni dormienti in OpenVSX per rubare portafogli di criptovalute

GlassWorm, un noto malware, ha inserito 73 estensioni dannose nel registro di OpenVSX. Gli hacker lo utilizzano per rubare i portafogli di criptovalute e altri dati degli sviluppatori.

I ricercatori di sicurezza hanno scoperto che sei estensioni si sono già trasformate in payload attivi. Le estensioni sono state caricate come copie false di elenchi noti e innocui. Secondo un rapporto di Socket, il codice dannoso è stato introdotto in un aggiornamento successivo.

Il malware GlassWorm attacca gli sviluppatori di criptovalute

Nell'ottobre del 2025, GlassWorm fece la sua prima apparizione. Utilizzava caratteri Unicode invisibili per nascondere codice destinato a rubare dati dai portafogli di criptovalute edentdegli sviluppatori. Da allora, la campagna si è diffusa ai pacchetti npm, ai repository GitHub, al Visual Studio Code Marketplace e a OpenVSX.

A metà marzo 2026, un'ondata di attacchi ha colpito centinaia di repository e decine di estensioni, ma la sua portata ha attirato l'attenzione. Diversi gruppi di ricerca hanno notato l'attività fin da subito e hanno contribuito a fermarla.

Sembra che gli aggressori abbiano cambiato approccio. L'ultimo gruppo di malware non lo installa immediatamente, ma utilizza un modello di attivazione ritardata. Invia un'estensione pulita, crea una base di installazioni e poi invia un aggiornamento dannoso.

"Le estensioni clonate o contraffatte vengono inizialmente pubblicate senza un payload evidente, per poi essere aggiornate in seguito al fine di diffondere malware", hanno affermato.

I ricercatori di sicurezza hanno scoperto tre modi per distribuire il codice dannoso attraverso le 73 estensioni. Un metodo consiste nell'utilizzare un secondo pacchetto VSIX da GitHub mentre il programma è in esecuzione e installarlo tramite comandi da riga di comando. Un altro metodo carica moduli compilati specifici per la piattaforma, come i file [.]node, che contengono la logica principale, incluse le routine per ottenere ulteriori payload.

Un terzo metodo utilizza codice JavaScript fortemente offuscato che viene decodificato in fase di esecuzione per scaricare e installare estensioni dannose. Prevede inoltre URL crittografati o di fallback per ottenere il payload.

Le estensioni assomigliano molto agli annunci autentici.

In un caso, l'attaccante ha copiato l'icona dell'estensione originale, assegnandole un nome e una descrizione quasi identici. Il nome dell'editore e l'dentunivoco sono ciò che le distingue, ma la maggior parte degli sviluppatori non presta attenzione a questi dettagli prima dell'installazione.

GlassWorm è progettato per intercettare token di accesso, dati di portafogli di criptovalute, chiavi SSH e informazioni sull'ambiente di sviluppo.

I portafogli di criptovalute sono continuamente sotto attacco da parte degli hacker

La minaccia va ben oltre i semplici portafogli di criptovalute. Un incidente diverso, ma correlato,dent come gli attacchi alla catena di approvvigionamento possano diffondersi attraverso l'infrastruttura degli sviluppatori.

Il 22 aprile, il registro npm ha ospitato per 93 minuti una versione difettosa della CLI di Bitwarden con il nome ufficiale del pacchetto @bitwarden/[email protected]AWS e Azuredente segreti di GitHub Actions.

L'analisi di JFrog ha rilevato che il pacchetto modificato ha alterato l'hook di installazione e il punto di ingresso binario per caricare il runtime di Bun ed eseguire un payload offuscato, sia durante l'installazione che durante l'esecuzione.

Secondo i dati forniti dalla stessa azienda, Bitwarden conta oltre 50.000 imprese e 10 milioni di utenti. Socket ha collegato quell'attacco a una campagna più ampia tracdai ricercatori di Checkmarx, e Bitwarden ha confermato il collegamento.

Il problema risiede nel funzionamento di npm e di altri registri. Gli aggressori sfruttano il lasso di tempo che intercorre tra la pubblicazione di un pacchetto e la verifica del suo contenuto.

Nel 2025 Sonatype ha rilevato circa 454.600 nuovi pacchetti dannosi che infestavano i registri. Gli autori delle minacce, nel tentativo di ottenere l'accesso ai servizi di custodia di criptovalute, DeFie alle piattaforme di lancio di token, hanno iniziato a prendere di mira i registri e a rilasciare flussi di lavoro dannosi.

Per gli sviluppatori che hanno installato una qualsiasi delle 73 estensioni OpenVSX segnalate, Socket raccomanda di ruotare tutte le credenziali e di pulire i propri ambienti di sviluppo.

Il prossimo aspetto da osservare è se le restanti 67 estensioni inattive si attiveranno nei prossimi giorni e se OpenVSX implementerà ulteriori controlli di revisione per gli aggiornamenti delle estensioni.