Les détenteurs de crypto-monnaie du réseau OpenVSX sont confrontés à une menace imminente alors que des acteurs malveillants envisagent de piller les actifs numériques.
GlassWorm, un malware connu, a placé 73 extensions nuisibles dans le registre d'OpenVSX. Les pirates l’utilisent pour voler les portefeuilles cryptographiques des développeurs et d’autres données.
Les chercheurs en sécurité ont découvert que six extensions se sont déjà transformées en charges utiles actives. Les extensions ont été téléchargées sous forme de fausses copies d’annonces bien connues qui n’étaient pas dangereuses. Selon un rapport de Socket, le mauvais code apparaîtra dans une mise à jour ultérieure.
Le malware GlassWorm attaque les développeurs de cryptographie
En octobre 2025, GlassWorm est apparu pour la première fois. Il utilisait des caractères Unicode invisibles pour masquer le code destiné à voler les données du portefeuille cryptographique et les informations d'identification des développeurs. La campagne s'est depuis étendue aux packages npm, aux référentiels GitHub, à Visual Studio Code Marketplace et à OpenVSX.
Une vague a touché des centaines de référentiels et des dizaines d’extensions à la mi-mars 2026, mais son ampleur a retenu l’attention. Plusieurs groupes de recherche ont remarqué l’activité très tôt et ont contribué à l’arrêter.
Les assaillants semblent avoir changé d’approche. Le dernier lot n’intègre pas immédiatement les logiciels malveillants ; au lieu de cela, il utilise un modèle d’activation retardée. Il envoie une extension propre, crée une base d'installation, puis envoie une mauvaise mise à jour.
"Les extensions clonées ou usurpant l'identité sont d'abord publiées sans charge utile évidente, puis mises à jour pour diffuser des logiciels malveillants", ont déclaré les chercheurs de Socket.
Les chercheurs en sécurité ont trouvé trois façons de diffuser le code malveillant sur les 73 extensions. Une solution consiste à utiliser un deuxième package VSIX de GitHub pendant que le programme est en cours d'exécution et à l'installer à l'aide des commandes CLI. Une autre méthode charge des modules compilés spécifiques à la plate-forme, tels que les fichiers de nœud [.] qui contiennent la logique de base, y compris des routines permettant d'obtenir davantage de charges utiles.
Une troisième méthode utilise du JavaScript fortement obscurci qui décode au moment de l'exécution pour télécharger et installer des extensions malveillantes. Il dispose également d'URL cryptées ou de secours pour obtenir la charge utile.
Les extensions ressemblent beaucoup à de véritables annonces.
Dans un cas, l’attaquant a copié l’icône de l’extension authentique et lui a donné un nom et une description presque identiques. Le nom de l’éditeur et l’identifiant unique sont ce qui les distingue, mais la plupart des développeurs n’examinent pas ces éléments de près avant de procéder à l’installation.
GlassWorm est conçu pour rechercher les jetons d'accès, les données du portefeuille cryptographique, les clés SSH et les informations sur l'environnement du développeur.
Les portefeuilles cryptographiques sont continuellement attaqués par des pirates informatiques
La menace va au-delà des seuls portefeuilles cryptographiques. Un incident différent mais connexe montre comment les attaques de la chaîne d'approvisionnement peuvent se propager à travers l'infrastructure des développeurs.
Le 22 avril, le registre npm a hébergé une mauvaise version de la CLI de Bitwarden pendant 93 minutes sous le nom officiel du package @bitwarden/cli@2026.4.0. JFrog, une société de sécurité, a découvert que la charge utile avait volé des jetons GitHub, des jetons npm, des clés SSH, des informations d'identification AWS et Azure et des secrets d'actions GitHub.
L’analyse de JFrog a révélé que le package piraté avait modifié le hook d’installation et le point d’entrée binaire pour charger le runtime Bun et exécuter une charge utile obscurcie, à la fois pendant l’installation et pendant l’exécution.
Selon les propres archives de la société, Bitwarden compte plus de 50 000 entreprises et 10 millions d’utilisateurs. Socket a lié cette attaque à une campagne plus importante suivie par les chercheurs de Checkmarx, et Bitwarden a confirmé le lien.
Le problème dépend du fonctionnement de NPM et d’autres registres. Les attaquants exploitent le temps entre le moment où un package est publié et le moment où son contenu est vérifié.
Sonatype a découvert environ 454 600 nouveaux packages malveillants infestant les registres en 2025. Les acteurs menaçants cherchant à accéder à la garde cryptographique, à DeFi et aux rampes de lancement de jetons ont commencé à cibler les registres et à publier des flux de travail malveillants.
Pour les développeurs qui ont installé l'une des 73 extensions OpenVSX signalées, Socket recommande de permuter tous les secrets et de nettoyer leurs environnements de développement.
La prochaine chose à surveiller est de savoir si les 67 extensions dormantes restantes seront activées dans les prochains jours et si OpenVSX implémentera des contrôles de révision supplémentaires pour les mises à jour des extensions.