GlassWorm, известная вредоносная программа, внедрила 73 опасных расширения в реестр OpenVSX. Хакеры используют её для кражи криптовалютных кошельков разработчиков и других данных.
Исследователи в области безопасности обнаружили, что шесть расширений уже превратились в активные вредоносные программы. Расширения были загружены как поддельные копии известных, не представляющих угрозы файлов. Согласно сообщению Socket, вредоносный код появился в одном из более поздних обновлений.
Вредоносная программа GlassWorm атакует разработчиков криптографии
В октябре 2025 года впервые появился GlassWorm. Он использовал невидимые символы Unicode для сокрытия кода, предназначенного для кражи данных криптокошельков иdentданных разработчиков. С тех пор кампания распространилась на пакеты npm, репозитории GitHub, торговую площадку Visual Studio Code и OpenVSX.
В середине марта 2026 года волна вредоносных программ затронула сотни репозиториев и десятки расширений, но её масштаб привлёк внимание общественности. Несколько исследовательских групп заметили эту активность на ранней стадии и помогли её остановить.
Похоже, злоумышленники изменили свой подход. Последняя партия вредоносных программ не внедряет вредоносное ПО сразу, а использует модель отложенной активации. Она отправляет чистое расширение, формирует базу пользователей, а затем отправляет некорректное обновление.
«Клонированные или имитирующие расширения сначала публикуются без очевидной полезной нагрузки, а затем обновляются для распространения вредоносного ПО», — заявили.
Исследователи безопасности обнаружили три способа распространения вредоносного кода по 73 расширениям. Один из способов — использование второго пакета VSIX из GitHub во время работы программы и его установка с помощью команд CLI. Другой метод загружает специфичные для платформы скомпилированные модули, такие как файлы [.]node, содержащие основную логику, включая процедуры для получения дополнительных полезных нагрузок.
Третий способ использует сильно обфусцированный JavaScript, который декодируется во время выполнения для загрузки и установки вредоносных расширений. Он также использует зашифрованные или резервные URL-адреса для получения полезной нагрузки.
Эти расширения очень похожи на настоящие объявления.
В одном случае злоумышленник скопировал иконку подлинного расширения и дал ему почти идентичное имя и описание. Различить их можно только по названию издателя и уникальномуdent, но большинство разработчиков не обращают на это внимания перед установкой.
GlassWorm создан для поиска токенов доступа, данных криптокошельков, SSH-ключей и информации об среде разработки.
Криптовалютные кошельки постоянно подвергаются атакам хакеров
Угроза показывает выходит за рамки только криптовалютных кошельков. Другой, но связанный с этим инцидентdent как атаки на цепочку поставок могут распространяться через инфраструктуру разработчиков.
22 апреля реестр npm в течение 93 минут размещал вредоносную версию CLI Bitwarden под официальным именем пакета @bitwarden/[email protected]данные AWS и Azuredent, а также секреты GitHub Actions.
Анализ JFrog показал, что взломанный пакет модифицировал установочный хук и точку входа бинарного файла для загрузки среды выполнения Bun и запуска обфусцированной полезной нагрузки как во время установки, так и во время работы.
Согласно собственным данным компании, Bitwarden обслуживает более 50 000 предприятий и 10 миллионов пользователей. Socket связал эту атаку с более масштабной кампанией, tracисследователями Checkmarx, и Bitwarden подтвердила эту связь.
Проблема заключается в том, как работают npm и другие реестры. Злоумышленники используют временной промежуток между публикацией пакета и проверкой его содержимого.
В 2025 году компания Sonatype обнаружила около 454 600 новых вредоносных пакетов, заразивших реестры. Злоумышленники, стремящиеся получить доступ к хранению криптовалюты, DeFiи площадкам запуска токенов, начали атаковать реестры и выпускать вредоносные программы.
Разработчикам, установившим любое из 73 отмеченных расширений OpenVSX, Socket рекомендует сменить все секретные ключи и очистить среду разработки.
Следующим шагом станет отслеживание того, активируются ли оставшиеся 67 неактивных расширений в ближайшие дни, и внедрит ли OpenVSX дополнительные механизмы контроля за обновлениями расширений.
