GlassWormは既知のマルウェアであり、OpenVSXのレジストリに73の有害な拡張機能を登録しました。ハッカーはこれを利用して、開発者の暗号通貨ウォレットやその他のデータを盗みます。セキュリティ研究者は、6つの拡張機能がすでにアクティブなペイロードに変わっていることを発見しました。これらの拡張機能は、有害でないとされる有名なリストの偽コピーとしてアップロードされていました。Socketの報告によると、悪意のあるコードは後のアップデートで導入されたとのことです。GlassWormマルウェアは暗号開発者を標的にする2025年10月、GlassWormは初めて出現しました。不可視のUnicode文字を使用して、暗号通貨ウォレットのデータや開発者の資格情報を盗むためのコードを隠していました。このキャンペーンはその後、npmパッケージ、GitHubリポジトリ、Visual Studio Codeマーケットプレイス、OpenVSXに拡散しました。2026年3月中旬、何百ものリポジトリと数十の拡張機能に一斉に攻撃が及び、その規模が注目を集めました。いくつかの研究グループが早期に活動を察知し、攻撃の阻止に協力しました。攻撃者はアプローチを変えたようです。最新のバッチは、すぐにマルウェアを埋め込むのではなく、遅延起動モデルを採用しています。クリーンな拡張機能を送信し、インストール基盤を構築した後に悪意のあるアップデートを送るのです。「クローンまたはなりすましの拡張機能は、最初は明らかなペイロードなしで公開され、その後、マルウェアを配信するために更新される」とSocketの研究者は述べています。セキュリティ研究者は、73の拡張機能にわたって悪意のあるコードを配信する3つの方法を発見しました。一つは、プログラム実行中にGitHubから二つ目のVSIXパッケージを使用し、CLIコマンドでインストールする方法です。もう一つは、[.]nodeファイルのようなプラットフォーム固有のコンパイル済みモジュールを読み込み、コアロジックやペイロード取得ルーチンを含む方法です。三つ目は、実行時にデコードされる高度に難読化されたJavaScriptを使用し、悪意のある拡張機能をダウンロード・インストールする方法です。ペイロード取得用の暗号化されたURLやフォールバックURLも備えています。これらの拡張機能は、本物のリストに非常によく似ています。あるケースでは、攻撃者は本物の拡張機能のアイコンをコピーし、ほぼ同じ名前と説明を付けました。発行者名とユニーク識別子が異なるポイントですが、多くの開発者はインストール前にこれらを詳しく確認しません。GlassWormは、アクセス・トークン、暗号通貨ウォレットデータ、SSHキー、開発環境に関する情報を狙っています。暗号通貨ウォレットはハッカーから絶えず攻撃を受けているこの脅威は暗号通貨ウォレットだけにとどまりません。別の関連事件は、サプライチェーン攻撃が開発者のインフラを通じて拡散する様子を示しています。2026年4月22日、npmレジストリは、公式パッケージ名@bitwarden/cli@2026.4.0の下で、悪意のあるBitwardenのCLIのバージョンを93分間ホスティングしました。セキュリティ企業のJFrogは、ペイロードがGitHubトークン、npmトークン、SSHキー、AWSおよびAzureの資格情報、GitHub Actionsのシークレットを盗んだと発見しました。JFrogの分析によると、そのハッキングされたパッケージは、インストールフックとバイナリエントリポイントを改ざんし、Bunランタイムをロードして難読化されたペイロードを実行させていました。これらはインストール時と実行中の両方で行われていました。同社の記録によると、Bitwardenは50,000以上の企業と1,000万以上のユーザーを抱えています。Socketはこの攻撃を、Checkmarxの研究者が追跡している大規模なキャンペーンに関連付け、Bitwardenもその関係を認めました。この問題は、npmや他のレジストリの運用方法に起因します。攻撃者は、パッケージが公開されてから内容が確認されるまでの間の時間を悪用します。Sonatypeは、2025年に約454,600の新しい悪意のあるパッケージがレジストリに蔓延していることを発見しました。暗号資産の管理、DeFi、トークンローンチパッドへのアクセスを狙う脅威アクターは、レジストリを標的にし、悪意のあるワークフローをリリースし始めています。73のフラグされたOpenVSX拡張機能をインストールした開発者には、Socketはすべてのシークレットをローテーションし、開発環境をクリーンアップすることを推奨します。次に注目すべきは、残りの67の休眠拡張機能が今後数日でアクティブ化するかどうか、そしてOpenVSXが拡張機能のアップデートに対して追加の審査制御を導入するかどうかです。あなたの銀行はあなたのお金を使っています。あなたはわずかな取り分しか得ていません。自分自身の銀行になる方法についての無料動画を見てください。
ハッカーはOpenVSXエコシステムを標的にして暗号通貨ウォレットを盗もうとしています
GlassWormは既知のマルウェアであり、OpenVSXのレジストリに73の有害な拡張機能を登録しました。ハッカーはこれを利用して、開発者の暗号通貨ウォレットやその他のデータを盗みます。
セキュリティ研究者は、6つの拡張機能がすでにアクティブなペイロードに変わっていることを発見しました。これらの拡張機能は、有害でないとされる有名なリストの偽コピーとしてアップロードされていました。Socketの報告によると、悪意のあるコードは後のアップデートで導入されたとのことです。
GlassWormマルウェアは暗号開発者を標的にする
2025年10月、GlassWormは初めて出現しました。不可視のUnicode文字を使用して、暗号通貨ウォレットのデータや開発者の資格情報を盗むためのコードを隠していました。このキャンペーンはその後、npmパッケージ、GitHubリポジトリ、Visual Studio Codeマーケットプレイス、OpenVSXに拡散しました。
2026年3月中旬、何百ものリポジトリと数十の拡張機能に一斉に攻撃が及び、その規模が注目を集めました。いくつかの研究グループが早期に活動を察知し、攻撃の阻止に協力しました。
攻撃者はアプローチを変えたようです。最新のバッチは、すぐにマルウェアを埋め込むのではなく、遅延起動モデルを採用しています。クリーンな拡張機能を送信し、インストール基盤を構築した後に悪意のあるアップデートを送るのです。
「クローンまたはなりすましの拡張機能は、最初は明らかなペイロードなしで公開され、その後、マルウェアを配信するために更新される」とSocketの研究者は述べています。
セキュリティ研究者は、73の拡張機能にわたって悪意のあるコードを配信する3つの方法を発見しました。一つは、プログラム実行中にGitHubから二つ目のVSIXパッケージを使用し、CLIコマンドでインストールする方法です。もう一つは、[.]nodeファイルのようなプラットフォーム固有のコンパイル済みモジュールを読み込み、コアロジックやペイロード取得ルーチンを含む方法です。
三つ目は、実行時にデコードされる高度に難読化されたJavaScriptを使用し、悪意のある拡張機能をダウンロード・インストールする方法です。ペイロード取得用の暗号化されたURLやフォールバックURLも備えています。
これらの拡張機能は、本物のリストに非常によく似ています。
あるケースでは、攻撃者は本物の拡張機能のアイコンをコピーし、ほぼ同じ名前と説明を付けました。発行者名とユニーク識別子が異なるポイントですが、多くの開発者はインストール前にこれらを詳しく確認しません。
GlassWormは、アクセス・トークン、暗号通貨ウォレットデータ、SSHキー、開発環境に関する情報を狙っています。
暗号通貨ウォレットはハッカーから絶えず攻撃を受けている
この脅威は暗号通貨ウォレットだけにとどまりません。別の関連事件は、サプライチェーン攻撃が開発者のインフラを通じて拡散する様子を示しています。
2026年4月22日、npmレジストリは、公式パッケージ名@bitwarden/cli@2026.4.0の下で、悪意のあるBitwardenのCLIのバージョンを93分間ホスティングしました。セキュリティ企業のJFrogは、ペイロードがGitHubトークン、npmトークン、SSHキー、AWSおよびAzureの資格情報、GitHub Actionsのシークレットを盗んだと発見しました。
JFrogの分析によると、そのハッキングされたパッケージは、インストールフックとバイナリエントリポイントを改ざんし、Bunランタイムをロードして難読化されたペイロードを実行させていました。これらはインストール時と実行中の両方で行われていました。
同社の記録によると、Bitwardenは50,000以上の企業と1,000万以上のユーザーを抱えています。Socketはこの攻撃を、Checkmarxの研究者が追跡している大規模なキャンペーンに関連付け、Bitwardenもその関係を認めました。
この問題は、npmや他のレジストリの運用方法に起因します。攻撃者は、パッケージが公開されてから内容が確認されるまでの間の時間を悪用します。
Sonatypeは、2025年に約454,600の新しい悪意のあるパッケージがレジストリに蔓延していることを発見しました。暗号資産の管理、DeFi、トークンローンチパッドへのアクセスを狙う脅威アクターは、レジストリを標的にし、悪意のあるワークフローをリリースし始めています。
73のフラグされたOpenVSX拡張機能をインストールした開発者には、Socketはすべてのシークレットをローテーションし、開発環境をクリーンアップすることを推奨します。
次に注目すべきは、残りの67の休眠拡張機能が今後数日でアクティブ化するかどうか、そしてOpenVSXが拡張機能のアップデートに対して追加の審査制御を導入するかどうかです。
あなたの銀行はあなたのお金を使っています。あなたはわずかな取り分しか得ていません。自分自身の銀行になる方法についての無料動画を見てください。