Hackers visam o ecossistema OpenVSX para roubar carteiras de criptomoedas

GlassWorm, um malware conhecido, colocou 73 extensões nocivas no registro do OpenVSX. Hackers o usam para roubar carteiras de criptomoedas dos desenvolvedores e outros dados.

Pesquisadores de segurança descobriram que seis extensões já se transformaram em cargas ativas. As extensões foram carregadas como cópias falsas de listagens conhecidas que não eram nocivas. Segundo um relatório da Socket, o código malicioso aparece em uma atualização posterior.

Malware GlassWorm ataca desenvolvedores de criptomoedas

Em outubro de 2025, o GlassWorm apareceu pela primeira vez. Ele usou caracteres Unicode invisíveis para esconder código destinado a roubar dados de carteiras de criptomoedas e credenciais de desenvolvedores. A campanha se espalhou para pacotes npm, repositórios do GitHub, o Marketplace do Visual Studio Code e o OpenVSX.

Uma onda atingiu centenas de repositórios e dezenas de extensões em meados de março de 2026, mas seu tamanho chamou atenção. Vários grupos de pesquisa perceberam a atividade cedo e ajudaram a interrompê-la.

Os atacantes parecem ter mudado sua abordagem. O lote mais recente não embute malware imediatamente; ao invés disso, usa um modelo de ativação atrasada. Envia uma extensão limpa, constrói uma base de instalação e depois envia uma atualização maliciosa.

“Extensões clonadas ou que imitam outras são primeiro publicadas sem uma carga útil óbvia, e depois atualizadas para entregar malware”, disseram pesquisadores da Socket.

Pesquisadores de segurança descobriram três formas de entregar o código malicioso através das 73 extensões. Uma delas é usar um segundo pacote VSIX do GitHub enquanto o programa está em execução e instalá-lo usando comandos CLI. Outro método carrega módulos compilados específicos da plataforma, como arquivos [.]node, que contêm a lógica principal, incluindo rotinas para obter mais cargas úteis.

Uma terceira forma usa JavaScript altamente ofuscado que decodifica em tempo de execução para baixar e instalar extensões maliciosas. Também possui URLs criptografados ou de fallback para obter a carga útil.

As extensões parecem muito com listagens genuínas.

Em um caso, o atacante copiou o ícone da extensão verdadeira e deu um nome e descrição quase iguais. O nome do editor e o identificador único são o que os diferenciam, mas a maioria dos desenvolvedores não presta muita atenção a esses detalhes antes de instalar.

GlassWorm foi criado para atacar tokens de acesso, dados de carteiras de criptomoedas, chaves SSH e informações sobre o ambiente de desenvolvimento.

Carteiras de criptomoedas estão constantemente sob ataque de hackers

A ameaça vai além das carteiras de criptomoedas. Um incidente diferente, mas relacionado, mostra como ataques na cadeia de suprimentos podem se espalhar pela infraestrutura dos desenvolvedores.

Em 22 de abril, o registro npm hospedou uma versão maliciosa do CLI do Bitwarden por 93 minutos sob o nome oficial do pacote @bitwarden/cli@2026.4.0. A JFrog, uma empresa de segurança, descobriu que a carga útil roubou tokens do GitHub, tokens npm, chaves SSH, credenciais da AWS e Azure, e segredos do GitHub Actions.

A análise da JFrog revelou que o pacote hackeado modificou o gancho de instalação e o ponto de entrada binário para carregar o runtime Bun e executar uma carga útil ofuscada, tanto durante a instalação quanto na execução.

Segundo os registros da própria empresa, o Bitwarden possui mais de 50.000 empresas e 10 milhões de usuários. A Socket vinculou esse ataque a uma campanha maior rastreada por pesquisadores do Checkmarx, e o Bitwarden confirmou a conexão.

O problema depende de como o npm e outros registros operam. Os atacantes exploram o intervalo entre o momento em que um pacote é publicado e quando seu conteúdo é verificado.

A Sonatype encontrou cerca de 454.600 novos pacotes maliciosos infestando registros em 2025. Atores de ameaça que buscam acesso a custódia de criptomoedas, DeFi e plataformas de lançamento de tokens começaram a atacar registros e lançar fluxos de trabalho maliciosos.

Para desenvolvedores que instalaram alguma das 73 extensões marcadas do OpenVSX, a Socket recomenda rotacionar todos os segredos e limpar seus ambientes de desenvolvimento.

O próximo passo é verificar se as 67 extensões inativas restantes ativarão nos próximos dias, e se o OpenVSX implementará controles adicionais de revisão para atualizações de extensões.

Seu banco está usando seu dinheiro. Você está recebendo as migalhas. Assista ao nosso vídeo gratuito sobre como se tornar seu próprio banco