Cryptonews

Владельцы криптовалюты в сети OpenVSX сталкиваются с надвигающейся угрозой, поскольку злоумышленники стремятся разграбить цифровые активы.

Источник
cryptonewstrend.com
Опубликовано
Владельцы криптовалюты в сети OpenVSX сталкиваются с надвигающейся угрозой, поскольку злоумышленники стремятся разграбить цифровые активы.

GlassWorm, известная вредоносная программа, поместила в реестр OpenVSX 73 вредоносных расширения. Хакеры используют его для кражи криптокошельков и других данных разработчиков.

Исследователи безопасности обнаружили, что шесть расширений уже превратились в активные полезные нагрузки. Расширения были загружены как поддельные копии известных списков, которые не были вредоносными. Согласно отчету Socket, плохой код появится в более позднем обновлении.

Вредоносное ПО GlassWorm атакует разработчиков криптовалют

В октябре 2025 года впервые появился GlassWorm. Он использовал невидимые символы Юникода, чтобы скрыть код, предназначенный для кражи данных криптокошелька и учетных данных разработчика. С тех пор кампания распространилась на пакеты npm, репозитории GitHub, Visual Studio Code Marketplace и OpenVSX.

В середине марта 2026 года волна захлестнула сотни репозиториев и десятки расширений, но ее размер привлек внимание людей. Несколько исследовательских групп заметили эту активность на раннем этапе и помогли ее остановить.

Похоже, нападавшие изменили свою позицию. Последняя партия не встраивает вредоносное ПО сразу; вместо этого он использует модель отложенной активации. Он отправляет чистое расширение, создает базу установок, а затем отправляет плохое обновление.

«Клонированные или выдающие себя за другое расширения расширения сначала публикуются без очевидной полезной нагрузки, а затем обновляются для доставки вредоносного ПО», — говорят исследователи Socket.

Исследователи безопасности нашли три способа доставки вредоносного кода через 73 расширения. Один из способов — использовать второй пакет VSIX из GitHub во время работы программы и установить его с помощью команд CLI. Другой метод загружает скомпилированные модули, специфичные для конкретной платформы, такие как файлы [.]node, которые содержат основную логику, включая процедуры для получения дополнительных полезных данных.

Третий способ использует сильно запутанный JavaScript, который декодируется во время выполнения для загрузки и установки вредоносных расширений. Он также имеет зашифрованные или резервные URL-адреса для получения полезной нагрузки.

Расширения очень похожи на настоящие списки.

В одном случае злоумышленник скопировал значок подлинного расширения и присвоил ему почти такое же имя и описание. Их отличает имя издателя и уникальный идентификатор, но большинство разработчиков не внимательно изучают эти вещи перед установкой.

GlassWorm создан для сбора токенов доступа, данных криптокошелька, ключей SSH и информации о среде разработки.

Криптокошельки постоянно подвергаются атакам хакеров

Угроза выходит за рамки только криптовалютных кошельков. Другой, но похожий инцидент показывает, как атаки на цепочку поставок могут распространяться через инфраструктуру разработчиков.

22 апреля в реестре npm в течение 93 минут хранилась неверная версия CLI Bitwarden под официальным именем пакета @bitwarden/cli@2026.4.0. JFrog, охранная компания, обнаружила, что полезная нагрузка украла токены GitHub, токены npm, ключи SSH, учетные данные AWS и Azure, а также секреты действий GitHub.

Анализ JFrog показал, что взломанный пакет изменил хук установки и двоичную точку входа, чтобы загрузить среду выполнения Bun и запустить запутанную полезную нагрузку как во время установки, так и во время работы.

Согласно собственным данным компании, у Bitwarden более 50 000 предприятий и 10 миллионов пользователей. Socket связал эту атаку с более крупной кампанией, которую отслеживали исследователи Checkmarx, и Bitwarden подтвердил эту связь.

Проблема зависит от того, как работают npm и другие реестры. Злоумышленники используют время между публикацией пакета и проверкой его содержимого.

В 2025 году Sonatype обнаружила около 454 600 новых вредоносных пакетов, заразивших реестры. Злоумышленники, стремящиеся получить доступ к хранению криптовалюты, DeFi и панелям запуска токенов, начали атаковать реестры и выпускать вредоносные рабочие процессы.

Для разработчиков, которые установили любое из 73 помеченных расширений OpenVSX, Socket рекомендует заменить все секреты и очистить среду разработки.

Следующее, за чем нужно следить, — активируются ли в ближайшие дни оставшиеся 67 неактивных расширений и реализует ли OpenVSX дополнительные элементы управления проверкой обновлений расширений.