Gate News message, April 28 — Security researchers have identified 73 malicious extensions planted by GlassWorm malware in OpenVSX’s registry, with six already activated to steal developers’ cryptocurrency wallets and credentials. The extensions were uploaded as fake copies of legitimate listings, with malicious code injected through later updates.
GlassWorm first emerged in October 2025, using invisible Unicode characters to hide code targeting crypto wallet data and developer credentials. The campaign has since spread across npm packages, GitHub repositories, Visual Studio Code Marketplace, and OpenVSX. In mid-March 2026, a major wave affected hundreds of repositories and dozens of extensions, prompting intervention from multiple security research groups. The attackers employ a delayed activation strategy, initially distributing clean extensions to build an install base before deploying malware through updates. Socket researchers identified three delivery methods: loading a second VSIX package from GitHub via CLI commands, deploying platform-specific compiled modules like .node files containing core malicious logic, and using heavily obfuscated JavaScript that decodes at runtime to download and install malicious payloads.
The threat extends beyond OpenVSX. On April 22, the npm registry briefly hosted a malicious version of Bitwarden’s CLI under the official package name for 93 minutes. The compromised package stole GitHub tokens, npm tokens, SSH keys, AWS and Azure credentials, and GitHub Actions secrets. Bitwarden, which serves over 10 million users across more than 50,000 businesses, confirmed the connection to a broader campaign tracked by Checkmarx researchers. Supply chain attacks exploit the time lag between package publication and content verification; Sonatype reported approximately 454,600 malicious packages infesting registries in 2025.
Socket recommends developers who installed any of the 73 flagged OpenVSX extensions rotate all secrets and clean their development environments. Security observers are monitoring whether the remaining 67 dormant extensions activate in coming days and whether OpenVSX implements stricter review controls for extension updates.
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Robinhood 使用者遭釣魚攻擊:利用 Gmail 點號別名功能
Gate 新聞訊息,4 月 28 日——Robinhood 使用者遭到釣魚攻擊,該攻擊利用 Gmail 的「點號別名」功能,並同時挖掘該平台帳戶建立流程中的弱點。攻擊者註冊了稍微變更的假 Robinhood 帳戶所用電子郵件地址,利用 Gmail 會忽略使用者名稱中的點號、從而將系統自動產生的電子郵件路由到合法使用者收件匣的特性,將該郵件送達目標使用者。
該攻擊包含在帳戶設定期間,透過選用的「裝置名稱」欄位注入惡意 HTML 程式碼。這使得釣魚連結與假警告文字能夠出現在來自「[email protected]」的官方電子郵件中;這些郵件通過 SPF、DKIM 與 DMARC 等驗證檢查,使其看起來對收件者而言是可信且合理的。點擊釣魚按鈕的使用者會被導引至用於竊取其憑證的假登入網站。
Robinhood 已確認,這些釣魚電子郵件並非源自系統遭到入侵,而是源自其帳戶建立流程遭到濫用。該公司表示,個人資訊與資金未受到影響。建議使用者刪除可疑電子郵件,並透過官方應用程式或網站直接存取其帳戶,而不是點擊未知連結。
此次事件反映出加密產業更廣泛的趨勢:釣魚與社交工程攻擊正在造成重大損失。資安公司 Hacken 表示,這類攻擊在 2026 年第一季度造成了 百萬 的損失,凸顯攻擊者正愈發鎖定使用者行為與平台設計漏洞作為目標,而不是試圖進行直接的系統入侵。
GateNews28分鐘前
加密駭盜在過去十年橫跨 518 起事件竊走 171 億美元
Gate 新聞訊息,4 月 28 日——根據 ChainCatcher 數據,過去十年加密貨幣遭受加密攻擊的累計損失已達 17.1 十億美元,發生在 518 起事件中。
過去五年造成的損失達 15.2 十億美元,來自 450 起以上事件;而去年則約有 2.5 十億美元在 140+ 起事件中被竊取。這顯示,與早前十年相比,攻擊頻率出現加速。
近期分析顯示,加密攻擊已由利用智慧合約漏洞,轉向鎖定私鑰竊取與存取控制遭突破,這代表攻擊者作案方式出現顯著轉變。
GateNews9小時前
AI 驅動的加密詐騙掏空長者的 $300K 退休存款;FBI 報告 2025 年加密詐欺損失 $11B
Gate News 消息,4 月 28 日——來自紐約的 73 歲 Kyle Holder 將她全部 300,000 美元的退休存款,損失給一場自 2024 年 12 月開始的、由 AI 驅動的加密貨幣投資詐騙。在回覆一則在 WhatsApp 上宣傳加密貨幣投資課程的未經邀請訊息後,她被連接到一個自稱是名叫 "Niamh" 的單親媽媽以及客服代表的人士
GateNews10小時前
法國當局起訴 88 人:因暴力加密「扳手攻擊」激增
Gate News 訊息,4 月 28 日——法國當局已起訴 88 人,原因是針對與加密貨幣相關的暴力綁架事件激增,這類事件被稱為「扳手攻擊」。因一部廣受歡迎的 xkcd 網路漫畫而得名,「扳手攻擊」涉及犯罪者使用暴力、恐嚇或囚禁等手段,迫使加密貨幣持有者透露其私鑰或密碼。
法國已成為此類搶劫案件的高發地,國家反有組織犯罪檢察官辦公室 PNACO 表示,自 2023 年以來,已發生超過 135 起事件。根據司法警察局 SIRASCO 的有組織犯罪資訊、情報與戰略分析服務,這些綁架往往由海外的策劃者協調,他們與法國境內的招募者合作。招募者將策劃者牽連到有犯罪前科的年輕人,後者對受害者進行線上恐嚇並施以人身攻擊。
受害者通常是 20 至 35 歲、作為投資者、創業者或影響者而涉足數位資產的男性。區塊鏈安全公司 CertiK 將針對加密貨幣持有者的實體攻擊描述為「數位資產所有權的結構性威脅」。
CertiK 記錄顯示,2025 年「扳手攻擊」增加了 75%,其中 71 起事件導致損失超過 $40.9 million——同比增幅 44%。
GateNews10小時前
ZetaChain 在遭受智能合約攻擊後暫停跨鏈交易
Layer 1 網路 ZetaChain 在根據 The Block 報導於識別出其 GatewayEVM 合約遭到攻擊後,已在其主網暫停跨鏈交易。團隊表示,此事件僅影響內部的 ZetaChain 團隊錢包,未影響任何用戶資金。根據 DefiLlama 的數據,$300,000
Crypto Frontier12小時前
SUNX 發出針對欺詐性冒充與釣魚詐騙的警告
Gate 新聞訊息,4 月 28 日 — 衍生品交易平台 SUNX 發布官方聲明,警告針對假冒並冒充該品牌的仿冒平台。根據公告,詐騙分子近期一直在使用非官方中文翻譯,例如「孫克斯」(孫克斯 ) 以及「森克斯」(森克斯 ,來進行「訊號交易」並實施資金詐騙。
SUNX 澄清,其官方名稱僅在英文中為「SUNX」,從未採用任何中文名稱。該平台持有多項監管許可,包括美國 MSB 許可,登記編號為 31000276306668 和 31000307329308,並已向美國 SEC 登記 CIK: 0002106288。SUNX 成立於 2018 年,並在多個主要資料平台上架,包括 MyToken 全球排名第 19 名、Fei Xiao Hao 全球排名第 33 名,以及 CoinMarketCap。
該平台呼籲用戶僅透過官方管道存取 SUNX,並避免任何聲稱提供訊號交易或使用非官方中文名稱的平台。SUNX 表示已啟動法律程序,並將追究所有負責冒充的詐欺行為者。
GateNews13小時前
