Хакери націлилися на екосистему OpenVSX, щоб викрасти криптогаманці

GlassWorm, відомий шкідливий програмний забезпечення, додав 73 шкідливі розширення до реєстру OpenVSX. Хакери використовують його для крадіжки криптовалютних гаманців розробників та інших даних.

Дослідники з безпеки виявили, що шість розширень вже перетворилися на активні шкідливі коди. Розширення були завантажені як фальшиві копії відомих лістингів, які не були шкідливими. За даними звіту Socket, зловмисний код з’являється у пізнішому оновленні.

Шкідливий софт GlassWorm атакує крипто-розробників

У жовтні 2025 року з’явився перший випадок GlassWorm. Він використовував невидимі символи Unicode для приховування коду, призначеного для крадіжки даних криптовалютних гаманців та облікових даних розробників. Кампанія з того часу поширилася на пакети npm, репозиторії GitHub, Marketplace Visual Studio Code та OpenVSX.

Хвиля атак охопила сотні репозиторіїв і десятки розширень у середині березня 2026 року, але її масштаб привернув увагу. Кілька дослідницьких груп помітили активність раніше і допомогли зупинити її.

Здається, зловмисники змінили свою тактику. Остання партія не вбудовує шкідливий код одразу; натомість використовується модель відкладеної активації. Вона надсилає чисте розширення, створює базу для встановлення, а потім надсилає погане оновлення.

“Клонировані або імітовані розширення спочатку публікуються без очевидного шкідливого навантаження, а потім оновлюються для доставки шкідливого коду,” повідомили дослідники Socket.

Дослідники з безпеки виявили три способи доставки шкідливого коду через 73 розширення. Один із них — використання другого пакета VSIX з GitHub під час роботи програми і його встановлення за допомогою команд CLI. Інший спосіб — завантаження платформо-специфічних скомпільованих модулів, таких як файли [.]node, що містять основну логіку, включаючи рутини для отримання додаткових шкідливих компонентів.

Третій спосіб використовує сильно обфусцований JavaScript, який розкодовуєсь під час виконання для завантаження та встановлення шкідливих розширень. Також використовуються зашифровані або резервні URL-адреси для отримання payload.

Розширення дуже схожі на справжні лістинги.

В одному випадку зловмисник скопіював іконку справжнього розширення і дав йому майже таку саму назву та опис. Ім’я видавця та унікальний ідентифікатор — це те, що їх відрізняє, але більшість розробників не звертають уваги на ці деталі перед встановленням.

GlassWorm створений для цілеспрямованої атаки на токени доступу, дані криптовалютних гаманців, SSH-ключі та інформацію про середовище розробки.

Криптовалютні гаманці постійно під атакою хакерів

Загроза виходить за межі просто криптовалютних гаманців. Інцидент, що відбувся, показує, як атаки на ланцюг постачання можуть поширюватися через інфраструктуру розробників.

22 квітня реєстр npm розмістив погану версію CLI Bitwarden протягом 93 хвилин під офіційною назвою пакета @bitwarden/cli@2026.4.0. Компанія JFrog, що займається безпекою, виявила, що payload викрадав токени GitHub, токени npm, SSH-ключі, облікові дані AWS та Azure і секрети GitHub Actions.

Аналіз JFrog показав, що зламаний пакет модифікував хук встановлення та точку входу у бінарний файл для завантаження середовища Bun і запуску обфусцованого payload, як під час встановлення, так і під час роботи.

Згідно з власними записами компанії, Bitwarden має понад 50 000 бізнесів і 10 мільйонів користувачів. Socket пов’язав цю атаку із більшою кампанією, яку відслідковують дослідники Checkmarx, і Bitwarden підтвердив цю зв’язок.

Проблема полягає у тому, як працюють npm та інші реєстри. Зловмисники використовують час між публікацією пакета і перевіркою його вмісту.

Sonatype виявила близько 454 600 нових шкідливих пакетів, що заражали реєстри у 2025 році. Актори загроз почали цілеспрямовано атакувати реєстри та випускати шкідливі робочі процеси для отримання доступу до криптовалютних сховищ, DeFi та токен-сейлів.

Для розробників, які встановили будь-яке з 73 позначених розширень OpenVSX, Socket рекомендує змінити всі секрети та очистити їхні середовища розробки.

Наступним кроком буде спостереження за тим, чи активуються решта 67 бездіяльних розширень у найближчі дні, і чи впровадить OpenVSX додаткові контрольні механізми перевірки оновлень розширень.

Ваш банк використовує ваші гроші. Ви отримуєте решту. Дивіться наше безкоштовне відео про те, як стати своїм власним банком.