Malware GlassWorm Menanam 73 Ekstensi Penidur di OpenVSX untuk Mencuri Dompet Kripto

Pesan dari Gate News, 28 April — Peneliti keamanan telah mengidentifikasi 73 ekstensi berbahaya yang ditanam oleh malware GlassWorm di registri OpenVSX, dengan enam di antaranya sudah diaktifkan untuk mencuri dompet kripto dan kredensial para pengembang. Ekstensi tersebut diunggah sebagai salinan palsu dari listing yang sah, dengan kode berbahaya disuntikkan melalui pembaruan berikutnya.

GlassWorm pertama kali muncul pada Oktober 2025, menggunakan karakter Unicode yang tidak terlihat untuk menyembunyikan kode yang menargetkan data dompet kripto dan kredensial pengembang. Kampanye ini kemudian menyebar ke paket npm, repositori GitHub, Visual Studio Code Marketplace, dan OpenVSX. Pada pertengahan Maret 2026, gelombang besar menyerang ratusan repositori dan puluhan ekstensi, sehingga memicu intervensi dari beberapa kelompok riset keamanan. Para penyerang menggunakan strategi aktivasi tertunda, mula-mula mendistribusikan ekstensi yang bersih untuk membangun basis instalasi sebelum menerapkan malware melalui pembaruan. Peneliti Socket mengidentifikasi tiga metode pengiriman: memuat paket VSIX kedua dari GitHub melalui perintah CLI, menerapkan modul terkompilasi yang spesifik platform seperti file .node yang berisi logika berbahaya inti, dan menggunakan JavaScript yang sangat diobfusikasi yang mendekode saat runtime untuk mengunduh serta menginstal muatan berbahaya.

Ancaman ini melampaui OpenVSX. Pada 22 April, registri npm sempat menjadi tuan rumah versi berbahaya Bitwarden's CLI selama 93 menit dengan nama paket resmi. Paket yang terkompromi mencuri token GitHub, token npm, kunci SSH, kredensial AWS dan Azure, serta rahasia GitHub Actions. Bitwarden, yang melayani lebih dari 10 juta pengguna di lebih dari 50.000 perusahaan, mengonfirmasi keterkaitan dengan kampanye yang lebih luas yang dilacak oleh peneliti Checkmarx. Serangan rantai pasokan mengeksploitasi jeda waktu antara publikasi paket dan verifikasi konten; Sonatype melaporkan sekitar 454.600 paket berbahaya menginfeksi registri pada 2025.

Socket merekomendasikan agar pengembang yang telah memasang salah satu dari 73 ekstensi OpenVSX yang ditandai tersebut memutar semua rahasia dan membersihkan lingkungan pengembangan mereka. Pengamat keamanan sedang memantau apakah 67 ekstensi yang masih dorman akan diaktifkan dalam beberapa hari mendatang dan apakah OpenVSX menerapkan kontrol peninjauan yang lebih ketat untuk pembaruan ekstensi.