恶意软件GlassWorm侵入OpenVSX注册表
已知恶意软件GlassWorm已向OpenVSX注册表投放了73个有害扩展程序。黑客利用这些扩展窃取开发者的加密钱包及其他敏感数据。安全研究人员发现,其中六个扩展已转化为活跃攻击载荷。这些扩展最初以无害知名扩展的仿冒版本上传,据Socket报告称,恶意代码通过后续更新植入。
GlassWorm的攻击演进
GlassWorm于2025年10月首次出现,其通过隐形Unicode字符隐藏窃取加密钱包数据和开发者凭证的代码。该攻击活动随后蔓延至npm软件包、GitHub代码库、Visual Studio Code市场及OpenVSX平台。2026年3月中旬,攻击浪潮波及数百个代码库和数十个扩展程序,其规模引发广泛关注。多个研究团队在早期发现异常活动并协助阻断攻击。
攻击者近期改变了策略。最新批次未直接嵌入恶意软件,而是采用延迟激活模式:先发布无害扩展建立用户基数,再通过更新推送恶意代码。Socket研究人员指出:"仿冒扩展在首次发布时不携带明显攻击载荷,后续更新才注入恶意程序。"
三重攻击路径解析
安全研究人员在73个扩展中发现三种恶意代码传播方式:其一是在程序运行时通过GitHub获取第二重VSIX安装包,并借助命令行工具安装;其二是加载包含核心逻辑的平台特定编译模块,这些模块内置获取额外攻击载荷的例程;第三种方式采用高度混淆的JavaScript代码,在运行时解码以下载安装恶意扩展,并设有加密或备用URL获取攻击载荷。
这些仿冒扩展与正版极为相似。在某案例中,攻击者复制正版扩展图标,采用几乎相同的名称与描述。虽然发布者名称和唯一标识符存在差异,但多数开发者在安装前不会仔细核查这些信息。GlassWorm专门设计用于窃取访问令牌、加密钱包数据、SSH密钥及开发环境信息。
供应链攻击持续蔓延
加密钱包面临的威胁正在持续扩大。另一相关联事件显示,供应链攻击正通过开发者基础设施扩散。4月22日,npm注册表在官方包名下托管了Bitwarden命令行工具的恶意版本,持续时间达93分钟。安全公司JFrog发现该攻击载荷窃取GitHub令牌、npm令牌、SSH密钥、云服务凭证及GitHub Actions密钥。
JFrog分析显示,被篡改的软件包通过修改安装钩子和二进制入口点,在安装和运行期间加载运行时环境并执行混淆攻击载荷。根据官方数据,Bitwarden服务超过5万家企业及千万级用户。Socket将该攻击与Checkmarx研究人员追踪的大型活动相关联,Bitwarden已确认此关联。
行业防护建议
此类问题与npm等注册表的运营机制密切相关。攻击者利用软件包发布与内容审查的时间差实施攻击。数据显示,2025年各注册表涌现约45.46万个新型恶意软件包。企图侵入加密托管、去中心化金融及代币发行平台的威胁行为体,正将注册表和恶意工作流作为攻击目标。
对于已安装可疑扩展的开发者,建议立即更新所有密钥凭证并彻底清理开发环境。后续需关注其余67个休眠扩展是否激活,以及OpenVSX是否将实施扩展更新审查机制。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注