ハッカーがOpenVSXエコシステムを標的に暗号通貨ウォレットを盗む

既知のマルウェアであるGlassWormが、OpenVSXのレジストリに73個の有害な拡張機能を仕込んだ。ハッカーはこれを利用して、開発者の暗号通貨ウォレットやその他のデータを盗み出す。.

セキュリティ研究者らは、6つの拡張機能が既に悪意のあるペイロードに変化していることを発見した。これらの拡張機能は、無害な既知のリストの偽コピーとしてアップロードされていた。Socketの報告によると、悪質なコードは後のアップデートで導入されるという。.

GlassWormマルウェアが暗号通貨開発者を攻撃

2025年10月、GlassWormが初めて出現した。これは、暗号通貨ウォレットのデータや開発者のdent情報を盗むことを目的としたコードを、目に見えないUnicode文字を使って隠蔽していた。その後、この攻撃はnpmパッケージ、GitHubリポジトリ、Visual Studio Code Marketplace、OpenVSXへと拡大した。.

2026年3月中旬、数百のリポジトリと数十の拡張機能に攻撃の波が押し寄せたが、その規模の大きさが人々の注目を集めた。複数の研究グループが早期にこの活動に気づき、阻止に協力した。.

攻撃者は手口を変えたようだ。最新の攻撃では、マルウェアをすぐに埋め込むのではなく、遅延アクティベーション方式を採用している。まずクリーンな拡張機能を送信してインストールベースを構築し、その後、悪意のあるアップデートを送信する。.

「クローンされた、あるいはなりすましされた拡張機能は、最初は明らかなペイロードなしで公開され、その後マルウェアを配信するように更新される」とSocketの研究者は 述べている。

セキュリティ研究者らは、73個の拡張機能に悪意のあるコードを配信する3つの方法を発見した。1つは、プログラムの実行中にGitHubから2つ目のVSIXパッケージを使用し、CLIコマンドでインストールする方法である。もう1つの方法は、より多くのペイロードを取得するためのルーチンを含むコアロジックを含む[.]nodeファイルなどのプラットフォーム固有のコンパイル済みモジュールをロードする方法である。.

3つ目の方法は、実行時にデコードされる高度に難読化されたJavaScriptを使用して、悪意のある拡張機能をダウンロードしてインストールするものです。また、ペイロードを取得するための暗号化されたURLまたはフォールバックURLも用意されています。.

その拡張機能は、本物の物件情報と非常によく似ている。.

あるケースでは、攻撃者は正規の拡張機能のアイコンをコピーし、ほぼ同じ名前と説明を付けていました。両者を区別する要素は発行者名と固有dentですが、ほとんどの開発者はインストール前にこれらの点を詳しく確認しません。.

GlassWormは、アクセストークン、暗号通貨ウォレットデータ、SSHキー、および開発者環境に関する情報を狙うように設計されています。.

暗号通貨ウォレットはハッカーによる攻撃に絶えずさらされている。

脅威 は 暗号通貨ウォレットだけにとどまりません。これとは異なるものの関連性のあるdent 、サプライチェーン攻撃が開発者のインフラを通じてどのように拡散するかを示しています。

4月22日、npmレジストリは、公式パッケージ名@bitwarden/cli@2026.4.0で、BitwardenのCLIの悪質なバージョンを93分間ホストしていました。セキュリティ企業のJFrogは、このペイロードがGitHubトークン、npmトークン、SSHキー、AWSおよびAzureのdent情報、GitHub Actionsのシークレットを盗み出したことを発見しました。.

JFrogの分析によると、ハッキングされたパッケージはインストールフックとバイナリエントリポイントを改変し、インストール時と実行時の両方でBunランタイムをロードして難読化されたペイロードを実行するようにしていた。.

同社の記録によると、Bitwardenは5万社以上の企業と1000万人以上のユーザーを抱えている。Socketはこの攻撃を、Checkmarxの研究者が tracしていたより大規模なキャンペーンと関連付け、Bitwardenもその関連性を認めた。.

この問題は、npmやその他のレジストリの動作方法に起因する。 攻撃者は 、パッケージが公開されてからその内容がチェックされるまでの時間差を悪用する。

Sonatypeは、2025年にレジストリに約45万4600件の新たな悪意のあるパッケージが蔓延すると予測している。暗号資産カストディ、 DeFi、トークンローンチパッドへのアクセス権を得ようとする攻撃者は、レジストリを標的にし、悪意のあるワークフローをリリースし始めている。.

Socket社は、問題が指摘された73個のOpenVSX拡張機能のいずれかをインストールした開発者に対し、すべての機密情報をローテーションし、開発環境をクリーンアップすることを推奨しています。.

次に注目すべき点は、残りの67個の休止状態の拡張機能が今後数日のうちに有効化されるかどうか、そしてOpenVSXが拡張機能のアップデートに関して追加のレビュー制御を実装するかどうかである。.

仮想通貨ニュースを読むだけでなく、理解を深めましょう。ニュースレターにご登録ください。 無料です。