O hacker mira o ecossistema OpenVSX para roubar carteiras de criptomoedas

GlassWorm, um malware conhecido, colocou 73 extensões nocivas no registo do OpenVSX. Os hackers usam-no para roubar carteiras de criptomoedas dos desenvolvedores e outros dados.

Investigadores de segurança descobriram que seis extensões já se transformaram em cargas úteis ativas. As extensões foram carregadas como cópias falsas de listagens conhecidas que não eram prejudiciais. Segundo um relatório da Socket, o código malicioso aparece numa atualização posterior.

Malware GlassWorm ataca desenvolvedores de criptomoedas

Em outubro de 2025, o GlassWorm apareceu pela primeira vez. Utilizava caracteres Unicode invisíveis para esconder código destinado a roubar dados de carteiras de criptomoedas e credenciais de desenvolvedor. A campanha espalhou-se desde então para pacotes npm, repositórios no GitHub, o Marketplace do Visual Studio Code e o OpenVSX.

Uma onda atingiu centenas de repositórios e dezenas de extensões em meados de março de 2026, mas o seu tamanho chamou a atenção das pessoas. Vários grupos de investigação notaram a atividade logo no início e ajudaram a pará-la.

Os atacantes parecem ter mudado a sua abordagem. O último lote não incorpora malware imediatamente; em vez disso, usa um modelo de ativação atrasada. Envia uma extensão limpa, constrói uma base de instalação e depois envia uma atualização maliciosa.

“Extensões clonadas ou que se fazem passar por legítimas são primeiro publicadas sem uma carga útil óbvia, e depois atualizadas para entregar malware,” disseram investigadores da Socket.

Investigadores de segurança descobriram três formas de entregar o código malicioso através das 73 extensões. Uma delas é usar um segundo pacote VSIX do GitHub enquanto o programa está a correr e instalá-lo usando comandos CLI. Outro método carrega módulos compilados específicos da plataforma, como ficheiros [.]node que contêm a lógica principal, incluindo rotinas para obter mais cargas úteis.

Uma terceira forma usa JavaScript altamente ofuscado que decodifica em tempo de execução para descarregar e instalar extensões maliciosas. Também possui URLs encriptados ou de fallback para obter a carga útil.

As extensões parecem muito com listagens genuínas.

Num caso, o atacante copiou o ícone da extensão legítima e deu-lhe um nome e descrição quase iguais. O nome do editor e o identificador único são o que os distinguem, mas a maioria dos desenvolvedores não olha com atenção para esses detalhes antes de instalar.

O GlassWorm foi criado para atacar tokens de acesso, dados de carteiras de criptomoedas, chaves SSH e informações sobre o ambiente de desenvolvimento.

Carteiras de criptomoedas estão constantemente sob ataque de hackers

A ameaça vai além das carteiras de criptomoedas. Um incidente diferente, mas relacionado, mostra como ataques à cadeia de abastecimento podem espalhar-se pela infraestrutura dos desenvolvedores.

Em 22 de abril, o registo npm hospedou uma versão maliciosa do CLI do Bitwarden durante 93 minutos sob o nome oficial do pacote @bitwarden/cli@2026.4.0. A JFrog, uma empresa de segurança, descobriu que a carga útil roubava tokens do GitHub, tokens npm, chaves SSH, credenciais AWS e Azure, e segredos do GitHub Actions.

A análise da JFrog revelou que o pacote comprometido modificou o gancho de instalação e o ponto de entrada binário para carregar o runtime Bun e executar uma carga útil ofuscada, tanto durante a instalação como na execução.

Segundo os próprios registos da empresa, o Bitwarden tem mais de 50.000 empresas e 10 milhões de utilizadores. A Socket ligou esse ataque a uma campanha maior rastreada por investigadores da Checkmarx, e o Bitwarden confirmou a ligação.

O problema baseia-se na forma como o npm e outros registos operam. Os atacantes exploram o intervalo de tempo entre a publicação de um pacote e a verificação do seu conteúdo.

A Sonatype encontrou cerca de 454.600 novos pacotes maliciosos a infestarem registos em 2025. Atores de ameaça que procuram aceder a custódias de criptomoedas, DeFi e plataformas de lançamento de tokens começaram a visar registos e a lançar fluxos de trabalho maliciosos.

Para os desenvolvedores que instalaram alguma das 73 extensões OpenVSX sinalizadas, a Socket recomenda rotacionar todos os segredos e limpar os seus ambientes de desenvolvimento.

O próximo passo é verificar se as restantes 67 extensões inativas ativam nos próximos dias, e se o OpenVSX implementa controles adicionais de revisão para atualizações de extensões.

O seu banco está a usar o seu dinheiro. Você está a receber as migalhas. Assista ao nosso vídeo gratuito sobre como se tornar o seu próprio banco