Peretas menargetkan ekosistem OpenVSX untuk mencuri dompet kripto

GlassWorm, sebuah malware yang dikenal, telah menempatkan 73 ekstensi berbahaya ke dalam registry OpenVSX. Peretas menggunakannya untuk mencuri dompet crypto pengembang dan data lainnya.

Para peneliti keamanan menemukan bahwa enam ekstensi telah berubah menjadi payload aktif. Ekstensi-ekstensi tersebut diunggah sebagai salinan palsu dari listing terkenal yang sebenarnya tidak berbahaya. Menurut laporan dari Socket, kode jahat tersebut muncul dalam pembaruan berikutnya.

Malware GlassWorm menyerang pengembang crypto

Pada Oktober 2025, GlassWorm pertama kali muncul. Ia menggunakan karakter Unicode tak terlihat untuk menyembunyikan kode yang bertujuan mencuri data dompet crypto dan kredensial pengembang. Kampanye ini sejak itu menyebar ke paket npm, repositori GitHub, Marketplace Visual Studio Code, dan OpenVSX.

Gelombang serangan melanda ratusan repositori dan puluhan ekstensi pada pertengahan Maret 2026, tetapi ukurannya menarik perhatian orang. Beberapa kelompok riset menyadari aktivitas tersebut sejak awal dan membantu menghentikannya.

Para pelaku tampaknya telah mengubah pendekatan mereka. Batch terbaru tidak menyisipkan malware langsung; melainkan, mereka menggunakan model aktivasi tertunda. Mereka mengirim ekstensi bersih, membangun basis instalasi, lalu mengirim pembaruan berbahaya.

“Ekstensi yang diklon atau meniru pertama kali dipublikasikan tanpa payload yang jelas, lalu kemudian diperbarui untuk mengirim malware,” kata peneliti Socket.

Para peneliti keamanan menemukan tiga cara untuk menyampaikan kode berbahaya ke 73 ekstensi tersebut. Salah satu caranya adalah menggunakan paket VSIX kedua dari GitHub saat program berjalan dan menginstalnya menggunakan perintah CLI. Metode lain memuat modul yang dikompilasi khusus platform seperti file [.]node yang berisi logika inti, termasuk rutinitas untuk mendapatkan payload lebih banyak.

Cara ketiga menggunakan JavaScript yang sangat obfuscated yang mendekode saat runtime untuk mengunduh dan menginstal ekstensi berbahaya. Ia juga memiliki URL terenkripsi atau fallback untuk mendapatkan payload.

Ekstensi-ekstensi tersebut sangat mirip dengan listing asli.

Dalam satu kasus, pelaku menyalin ikon dari ekstensi asli dan memberinya nama serta deskripsi yang hampir sama. Nama penerbit dan pengidentifikasi unik adalah yang membedakan mereka, tetapi kebanyakan pengembang tidak memeriksa hal-hal ini secara seksama sebelum menginstal.

GlassWorm dirancang untuk mengincar token akses, data dompet crypto, kunci SSH, dan informasi tentang lingkungan pengembang.

Dompet crypto terus-menerus diserang hacker

Ancaman ini tidak hanya terbatas pada dompet crypto. Insiden yang berbeda namun terkait menunjukkan bagaimana serangan rantai pasokan dapat menyebar melalui infrastruktur pengembang.

Pada 22 April, registry npm menampung versi buruk dari CLI Bitwarden selama 93 menit dengan nama paket resmi @bitwarden/cli@2026.4.0. JFrog, sebuah perusahaan keamanan, menemukan bahwa payload tersebut mencuri token GitHub, token npm, kunci SSH, kredensial AWS dan Azure, serta rahasia GitHub Actions.

Analisis JFrog menemukan bahwa paket yang diretas tersebut memodifikasi hook instalasi dan entri titik masuk binary untuk memuat runtime Bun dan menjalankan payload yang diobfuscate, baik saat instalasi maupun saat berjalan.

Menurut catatan perusahaan sendiri, Bitwarden memiliki lebih dari 50.000 bisnis dan 10 juta pengguna. Socket mengaitkan serangan tersebut dengan kampanye yang lebih besar yang dilacak oleh peneliti Checkmarx, dan Bitwarden mengonfirmasi hubungan tersebut.

Masalah ini bergantung pada cara kerja npm dan registry lainnya. Pelaku memanfaatkan waktu antara saat paket dipublikasikan dan saat isinya diperiksa.

Sonatype menemukan sekitar 454.600 paket berbahaya baru yang menginfeksi registry pada tahun 2025. Aktor ancaman yang ingin mendapatkan akses ke custodial crypto, DeFi, dan token launchpad mulai menargetkan registry dan merilis alur kerja berbahaya.

Bagi pengembang yang menginstal salah satu dari 73 ekstensi OpenVSX yang ditandai, Socket menyarankan untuk mengganti semua rahasia dan membersihkan lingkungan pengembangan mereka.

Hal berikutnya yang perlu diperhatikan adalah apakah 67 ekstensi yang tidak aktif akan diaktifkan dalam beberapa hari mendatang, dan apakah OpenVSX akan menerapkan kontrol review tambahan untuk pembaruan ekstensi.

Bank Anda menggunakan uang Anda. Anda hanya mendapatkan sisa-sisanya. Tonton video gratis kami tentang menjadi bank sendiri