已知的恶意软件 GlassWorm 已将 73 个有害扩展程序添加到 OpenVSX 注册表中。黑客利用它窃取开发者的加密钱包和其他数据。.
安全研究人员发现,已有六个浏览器扩展程序变成了恶意代码。这些扩展程序被伪装成知名浏览器列表的虚假副本上传,而这些列表本身并无恶意。据 Socket 的一份报告显示,恶意代码存在于后续的更新中。.
GlassWorm恶意软件攻击加密货币开发者。
2025年10月,GlassWorm首次出现。它利用不可见的Unicode字符隐藏代码,旨在窃取加密货币钱包数据和开发者dent。此后,该攻击活动已蔓延至npm软件包、GitHub代码库、Visual Studio Code Marketplace和OpenVSX。.
2026年3月中旬,一场攻击浪潮席卷了数百个代码库和数十个扩展程序,但其规模之大引起了人们的关注。几个研究小组及早发现了这一情况,并帮助阻止了攻击的发生。.
攻击者似乎改变了策略。最新一批恶意软件不再立即植入,而是采用延迟激活模式。它会先发送一个干净的扩展程序,建立用户群,然后再发送恶意更新。.
“克隆或冒充的扩展程序最初发布时没有明显的有效载荷,然后进行更新以传播恶意软件 表示:。
安全研究人员发现了三种通过 73 个扩展程序传播恶意代码的方法。一种方法是在程序运行时使用来自 GitHub 的第二个 VSIX 包,并通过 CLI 命令进行安装。另一种方法是加载平台特定的编译模块,例如包含核心逻辑(包括用于获取更多有效载荷的例程)的 [.]node 文件。.
第三种方法是使用高度混淆的 JavaScript 代码,在运行时解码以下载并安装恶意扩展程序。它还包含加密或备用 URL 来获取有效载荷。.
这些扩展程序看起来很像真正的房源信息。.
在其中一个案例中,攻击者复制了正版扩展程序的图标,并赋予其几乎相同的名称和描述。发布者名称和唯一dent是区分它们的关键,但大多数开发者在安装前并不会仔细检查这些信息。.
GlassWorm 旨在窃取访问令牌、加密钱包数据、SSH 密钥以及有关开发者环境的信息。.
加密钱包不断遭受黑客攻击。
这种 威胁 不仅限于加密钱包。另一起相关事件dent ,供应链攻击可以通过开发人员的基础设施传播。
4月22日,npm注册表以官方包名@bitwarden/[email protected]。安全公司JFrog发现,该恶意程序窃取了GitHub令牌、npm令牌、SSH密钥、AWS和Azure凭据dentGitHub Actions密钥。
JFrog 的分析发现,被黑客入侵的软件包修改了安装钩子和二进制入口点,以便在安装和运行时加载 Bun 运行时并运行混淆的有效载荷。.
根据该公司自身的记录,Bitwarden拥有超过5万家企业客户和1000万用户。Socket将此次攻击与Checkmarx研究人员 trac到的更大规模的攻击活动联系起来,Bitwarden也证实了这一关联。.
问题在于 npm 和其他注册表的运行方式。 攻击者 会利用软件包发布到其内容被检查之间的时间差。
Sonatype 发现,2025 年约有 454,600 个新的恶意软件包感染了注册表。试图获取加密货币托管、 DeFi和代币发行平台访问权限的威胁行为者已经开始将目标对准注册表并发布恶意工作流程。.
对于安装了 73 个已标记的 OpenVSX 扩展程序中任何一项的开发人员,Socket 建议轮换所有密钥并清理其开发环境。.
接下来要观察的是,剩余的 67 个休眠扩展程序是否会在未来几天内激活,以及 OpenVSX 是否会对扩展程序更新实施额外的审查控制。.
