由于恶意行为者将目光投向掠夺数字资产，OpenVSX 网络中的加密货币持有者面临着迫在眉睫的威胁。

GlassWorm 是一种已知的恶意软件，它已将 73 个有害扩展程序放入 OpenVSX 的注册表中。黑客用它来窃取开发者的加密钱包和其他数据。

安全研究人员发现，六个扩展程序已经转变为活动有效负载。这些扩展程序是作为无害的知名列表的假副本上传的。根据 Socket 的报告，错误代码出现在稍后的更新中。

GlassWorm 恶意软件攻击加密开发人员

2025 年 10 月，GlassWorm 首次出现。它使用不可见的 Unicode 字符来隐藏旨在窃取加密钱包数据和开发人员凭据的代码。该活动已蔓延到 npm 包、GitHub 存储库、Visual Studio Code Marketplace 和 OpenVSX。

2026 年 3 月中旬，一波攻击袭击了数百个存储库和数十个扩展，但其规模引起了人们的注意。几个研究小组很早就注意到了这一活动并帮助阻止了它。

攻击者似乎改变了他们的方法。最新批次不会立即嵌入恶意软件；相反，它使用延迟激活模型。它发送一个干净的扩展，构建一个安装基础，然后发送一个错误的更新。

Socket 研究人员表示：“克隆或冒充的扩展首先在没有明显有效负载的情况下发布，然后进行更新以传播恶意软件。”

安全研究人员发现了三种在 73 个扩展程序中传递恶意代码的方法。一种方法是在程序运行时使用 GitHub 上的第二个 VSIX 包，并使用 CLI 命令安装它。另一种方法加载特定于平台的编译模块，例如包含核心逻辑的 [.]node 文件，包括用于获取更多有效负载的例程。

第三种方法使用严重混淆的 JavaScript，在运行时进行解码以下载和安装恶意扩展。它还具有用于获取有效负载的加密或后备 URL。

这些扩展看起来很像真正的列表。

在一种情况下，攻击者复制了正版扩展的图标，并为其指定了几乎相同的名称和描述。发布者名称和唯一标识符是将它们区分开来的，但大多数开发人员在安装之前不会仔细查看这些内容。

GlassWorm 旨在追踪访问令牌、加密钱包数据、SSH 密钥以及有关开发人员环境的信息。

加密钱包不断受到黑客攻击

威胁不仅仅限于加密钱包。另一个不同但相关的事件显示了供应链攻击如何通过开发基础设施传播。

4 月 22 日，npm 注册表在官方软件包名称 @bitwarden/cli@2026.4.0 下托管了 Bitwarden CLI 的不良版本长达 93 分钟。安全公司 JFrog 发现有效负载窃取了 GitHub 令牌、npm 令牌、SSH 密钥、AWS 和 Azure 凭证以及 GitHub Actions 机密。

JFrog 的分析发现，被黑客攻击的软件包修改了安装挂钩和二进制入口点，以在安装和运行期间加载 Bun 运行时并运行混淆的有效负载。

根据该公司自己的记录，Bitwarden 拥有超过 50,000 家企业和 1000 万用户。 Socket 将这次攻击与 Checkmarx 研究人员追踪的更大的活动联系起来，Bitwarden 证实了这种联系。

该问题取决于 npm 和其他注册表的运行方式。攻击者利用发布包和检查其内容之间的时间。

Sonatype 在 2025 年发现了大约 454,600 个新的恶意软件包感染了注册表。寻求访问加密货币托管、DeFi 和代币启动板的威胁行为者已开始瞄准注册表并发布恶意工作流程。

对于安装了 73 个标记的 OpenVSX 扩展中的任何一个的开发人员，Socket 建议轮换所有机密并清理其开发环境。

接下来要关注的是剩余的 67 个休眠扩展是否会在未来几天内激活，以及 OpenVSX 是否对扩展更新实施额外的审查控制。