GlassWorm 恶意软件在 OpenVSX 中潜伏 73 个扩展以窃取加密钱包

Gate News 消息，4月28日——安全研究人员已在 OpenVSX 的注册表中识别出 73 个由 GlassWorm 恶意软件植入的恶意扩展，其中已有 6 个已被激活，用于窃取开发者的加密货币钱包和凭证。这些扩展被上传为合法列表的伪造副本，并通过后续更新注入恶意代码。

GlassWorm 最早于 2025 年 10 月出现，使用不可见的 Unicode 字符来隐藏指向加密货币钱包数据和开发者凭证的代码。此后，该活动已扩散至 npm 包、GitHub 仓库、Visual Studio Code Marketplace 以及 OpenVSX。到 2026 年 3 月中旬，一波重大浪潮影响了数百个仓库和数十个扩展，促使多个安全研究团队介入。攻击者采用延迟激活策略，先分发干净的扩展以建立安装基础，然后再通过更新投放恶意软件。Socket 研究人员识别出三种投递方式：通过 CLI 命令从 GitHub 加载第二个 VSIX 包、部署平台特定的编译模块（如包含核心恶意逻辑的 .node 文件），以及使用高度混淆的 JavaScript（在运行时解码以下载并安装恶意载荷）。

威胁不仅限于 OpenVSX。4 月 22 日，npm 注册表曾短暂以 Bitwarden 的官方包名托管了一个恶意版本，持续 93 分钟。该被篡改的包窃取了 GitHub 令牌、npm 令牌、SSH 密钥、AWS 和 Azure 凭证，以及 GitHub Actions 机密信息。Bitwarden 为超过 1000 万用户服务，覆盖 5 万多个企业；其证实与 Checkmarx 研究人员追踪到的更大规模活动有关。供应链攻击利用了包发布与内容验证之间的时间滞后；Sonatype 报告称，2025 年约有 454,600 个恶意包侵入了各类注册表。

Socket 建议：安装了上述 73 个被标记 OpenVSX 扩展的开发者应轮换所有密钥，并清理开发环境。安全观察者正在监测未来几天剩余 67 个处于休眠状态的扩展是否会被激活，以及 OpenVSX 是否会对扩展更新实施更严格的审查控制。