악명 높은 악성 프로그램인 GlassWorm이 OpenVSX 레지스트리에 73개의 악성 확장 프로그램을 심어 놓았습니다. 해커들은 이를 이용해 개발자들의 암호화폐 지갑과 기타 데이터를 탈취합니다.
보안 연구원들은 6개의 확장 프로그램이 이미 악성 페이로드로 변질된 것을 발견했습니다. 이 확장 프로그램들은 악의적이지 않은 잘 알려진 프로그램 목록을 모방한 가짜 사본으로 업로드되었습니다. Socket의 보고서에 따르면, 악성 코드는 최근 업데이트에 포함되어 있다고 합니다.
GlassWorm 악성코드가 암호화폐 개발자들을 공격합니다
2025년 10월, GlassWorm이 처음 등장했습니다. 이 악성코드는 보이지 않는 유니코드 문자를 사용하여 암호화폐 지갑 데이터와 개발자dent탈취하는 코드를 숨겼습니다. 이후 이 악성코드는 npm 패키지, GitHub 저장소, Visual Studio Code 마켓플레이스, OpenVSX 등으로 확산되었습니다.
2026년 3월 중순, 수백 개의 저장소와 수십 개의 확장 프로그램에 걸쳐 대규모 공격이 발생했는데, 그 규모가 사람들의 관심을 끌었습니다. 여러 연구 그룹이 초기에 이러한 활동을 감지하고 차단하는 데 도움을 주었습니다.
공격자들이 수법을 바꾼 것으로 보입니다. 최근 공격 방식은 악성코드를 바로 심는 것이 아니라, 지연 활성화 방식을 사용합니다. 악성코드가 없는 확장 프로그램을 보내 설치 기반을 구축한 후, 악성 업데이트를 배포하는 방식입니다.
Socket 연구원들은 "복제되거나 사칭된 확장 프로그램은 처음에는 명확한 페이로드 없이 게시된 다음 나중에 악성 프로그램을 배포하도록 업데이트됩니다." 라고 말했습니다.
보안 연구원들은 73개의 확장 프로그램에 악성 코드를 전달하는 세 가지 방법을 발견했습니다. 첫 번째 방법은 프로그램이 실행 중인 동안 GitHub에서 두 번째 VSIX 패키지를 가져와 CLI 명령어를 사용하여 설치하는 것입니다. 또 다른 방법은 핵심 로직과 추가 페이로드를 가져오는 루틴을 포함하는 [.]node 파일과 같은 플랫폼별 컴파일된 모듈을 로드하는 것입니다.
세 번째 방법은 실행 시 디코딩되어 악성 확장 프로그램을 다운로드하고 설치하는 고도로 난독화된 JavaScript를 사용합니다. 또한 페이로드를 가져오기 위한 암호화된 URL 또는 대체 URL도 사용합니다.
확장 프로그램은 실제 상품 목록과 매우 유사하게 보입니다.
한 사례에서는 공격자가 정품 확장 프로그램의 아이콘을 복사하고 거의 동일한 이름과 설명을 입력했습니다. 게시자 이름과 고유 식별자가 두dent프로그램을 구분하는 요소이지만, 대부분의 개발자는 설치 전에 이러한 사항을 자세히 살펴보지 않습니다.
GlassWorm은 액세스 토큰, 암호화폐 지갑 데이터, SSH 키 및 개발자 환경에 대한 정보를 노리도록 설계되었습니다.
암호화폐 지갑은 해커들의 지속적인 공격을 받고 있습니다
위협 은 암호화폐 지갑에만 국한되지 않습니다. 이와는 다르지만 관련된 한dent 공급망 공격이 개발자 인프라 전반에 어떻게 확산될 수 있는지를 보여줍니다.
으로 Bitwarden CLI의 악성 버전이 93분 동안 호스팅되었습니다[email protected]. 보안 회사인 JFrog는 해당 페이로드가 GitHub 토큰, npm 토큰, SSH 키, AWS 및 Azure 자격dent, GitHub Actions 비밀 키를 탈취한 것을 발견했습니다.
JFrog의 분석 결과, 해킹된 패키지는 설치 후크와 바이너리 진입점을 수정하여 Bun 런타임을 로드하고 설치 중과 실행 중에 난독화된 페이로드를 실행하는 것으로 나타났습니다.
회사 자체 기록에 따르면 Bitwarden은 5만 개 이상의 기업과 1천만 명의 사용자를 보유하고 있습니다. Socket은 해당 공격이 Checkmarx 연구원들이 추적한 더 큰 규모의 trac캠페인과 연관되어 있다고 밝혔으며, Bitwarden은 이러한 연관성을 확인했습니다.
이 문제는 npm 및 기타 레지스트리의 작동 방식에 있습니다. 공격자는 패키지가 게시된 시점과 해당 내용이 검사되는 시점 사이의 시간 간격을 악용합니다.
Sonatype은 2025년에 약 454,600개의 새로운 악성 패키지가 레지스트리를 감염시키는 것을 발견했습니다. 암호화폐 수탁, DeFi및 토큰 런치패드에 접근하려는 위협 행위자들이 레지스트리를 표적으로 삼고 악성 워크플로우를 배포하기 시작했습니다.
Socket은 문제가 된 73개의 OpenVSX 확장 프로그램을 설치한 개발자에게 모든 비밀 키를 주기적으로 교체하고 개발 환경을 정리할 것을 권장합니다.
다음으로 지켜봐야 할 점은 나머지 67개의 휴면 확장 프로그램이 향후 며칠 내에 활성화될지, 그리고 OpenVSX가 확장 프로그램 업데이트에 대한 추가 검토 제어 기능을 구현할지 여부입니다.
