Gate 新闻快讯,4月28日——安全研究人员已在 OpenVSX 的注册表中发现由 GlassWorm 恶意软件植入的 73 个恶意扩展,其中已有 6 个被激活,用于窃取开发者的加密货币钱包和凭据。这些扩展被作为合法上架条目的假冒副本上传,并通过后续更新注入恶意代码。

GlassWorm 最早于 2025 年 10 月出现,使用不可见的 Unicode 字符来隐藏针对加密货币钱包数据和开发者凭据的代码。此后,该活动已扩散至 npm 包、GitHub 仓库、Visual Studio Code 市场以及 OpenVSX。到 2026 年 3 月中旬,一轮大规模攻势影响了数百个仓库和数十个扩展,促使多个安全研究团队介入。攻击者采用延迟激活策略:先分发干净的扩展以建立安装基础,然后通过更新部署恶意软件。Socket 研究人员识别出三种投递方式:通过命令行指令(CLI)从 GitHub 加载第二个 VSIX 包、部署诸如 .node 文件这类平台特定的已编译模块(其中包含核心恶意逻辑),以及使用高度混淆的 JavaScript——在运行时解码以下载并安装恶意载荷。

该威胁不仅限于 OpenVSX。4 月 22 日,npm 注册表曾在官方包名下短暂托管 Bitwarden 的一个恶意 CLI 版本,持续 93 分钟。被攻陷的包窃取了 GitHub 令牌、npm 令牌、SSH 密钥、AWS 和 Azure 凭据,以及 GitHub Actions 的密钥。Bitwarden 面向超过 1,000 万用户,服务于 50,000 多家企业,其已确认该事件与 Checkmarx 研究人员追踪到的一项更大规模活动有关。供应链攻击会利用“包发布”与“内容校验”之间的时间滞后;Sonatype 报告称,2025 年约有 454,600 个恶意包侵入了各类注册表。

Socket 建议:安装了上述任何一款被标记的 OpenVSX 扩展的开发者,应轮换所有密钥并清理开发环境。安全观察者正在关注:未来几天剩余的 67 个休眠扩展是否会被激活,以及 OpenVSX 是否会对扩展更新实施更严格的审查控制。