ข้อความข่าว Gate News วันที่ 28 เมษายน — นักวิจัยด้านความปลอดภัยได้ระบุส่วนขยายที่เป็นอันตราย 73 รายการ ซึ่งฝังโดยมัลแวร์ GlassWorm ในทะเบียน (registry) ของ OpenVSX โดยมี 6 รายการที่เปิดใช้งานไปแล้วเพื่อขโมยกระเป๋าเงินคริปโตและข้อมูลรับรองของนักพัฒนา ส่วนขยายถูกอัปโหลดในรูปแบบสำเนาปลอมของรายการที่ถูกต้องตามกฎหมาย โดยมีการฉีดโค้ดอันตรายผ่านการอัปเดตในภายหลัง
GlassWorm เริ่มปรากฏตัวครั้งแรกในเดือนตุลาคม 2025 โดยใช้ตัวอักษรยูนิโค้ดที่มองไม่เห็นเพื่อซ่อนโค้ดที่กำหนดเป้าหมายไปยังข้อมูลของกระเป๋าเงินคริปโตและข้อมูลรับรองของนักพัฒนา ต่อมาแคมเปญดังกล่าวได้แพร่กระจายไปยังแพ็กเกจ npm, รีโพสิทอรีของ GitHub, Visual Studio Code Marketplace และ OpenVSX ในช่วงกลางเดือนมีนาคม 2026 คลื่นขนาดใหญ่ได้ส่งผลกระทบต่อรีโพสิทอรีหลายร้อยแห่งและส่วนขยายหลายสิบรายการ ทำให้กลุ่มวิจัยด้านความปลอดภัยหลายกลุ่มต้องเข้ามาแทรกแซง ผู้โจมตีใช้กลยุทธ์การเปิดใช้งานแบบหน่วงเวลา โดยเริ่มจากแจกจ่ายส่วนขยายที่สะอาดเพื่อสร้างฐานการติดตั้ง ก่อนจะส่งมัลแวร์ผ่านการอัปเดต นักวิจัยของ Socket ระบุวิธีการส่งมอบได้ 3 วิธี ได้แก่ การโหลดแพ็กเกจ VSIX ตัวที่สองจาก GitHub ผ่านคำสั่ง CLI, การนำโมดูลที่คอมไพล์เฉพาะแพลตฟอร์มไปใช้งาน เช่นไฟล์ .node ที่มีตรรกะอันตรายหลัก, และการใช้จาวาสคริปต์ที่ถูกทำให้อำพรางอย่างหนัก ซึ่งจะถอดรหัสขณะรันเพื่อดาวน์โหลดและติดตั้งเพย์โหลดอันตราย
ภัยคุกคามนี้ไม่ได้จำกัดอยู่แค่ OpenVSX เมื่อวันที่ 22 เมษายน รีจิสทรี npm ได้โฮสต์เวอร์ชันที่เป็นอันตรายของ CLI ของ Bitwarden ชั่วคราวภายใต้ชื่อแพ็กเกจอย่างเป็นทางการเป็นเวลา 93 นาที แพ็กเกจที่ถูกบุกรุกขโมยโทเคน GitHub, โทเคน npm, กุญแจ SSH, ข้อมูลรับรอง AWS และ Azure รวมถึงความลับของ GitHub Actions Bitwarden ซึ่งให้บริการผู้ใช้งานมากกว่า 10 ล้านคนในองค์กรกว่า 50,000 แห่ง ได้ยืนยันความเชื่อมโยงกับแคมเปญที่กว้างขึ้นซึ่งถูกติดตามโดยนักวิจัยของ Checkmarx การโจมตีห่วงโซ่อุปทานใช้ประโยชน์จากช่องว่างของเวลา ระหว่างการเผยแพร่แพ็กเกจและการตรวจสอบเนื้อหา Sonatype รายงานว่าในปี 2025 มีแพ็กเกจที่เป็นอันตรายประมาณ 454,600 แพ็กเกจ แพร่ระบาดเข้าไปในรีจิสทรี
Socket แนะนำให้นักพัฒนาที่ติดตั้งส่วนขยาย OpenVSX ทั้ง 73 รายการที่ถูกระบุข้างต้น ทำการหมุนเวียนข้อมูลลับทั้งหมด (rotate all secrets) และทำความสะอาดสภาพแวดล้อมการพัฒนา ผู้สังเกตการณ์ด้านความปลอดภัยกำลังติดตามว่าอีก 67 ส่วนขยายที่ยังไม่ทำงานจะเปิดใช้งานในช่วงวันถัดไปหรือไม่ และว่า OpenVSX จะมีการนำมาตรการตรวจสอบที่เข้มงวดยิ่งขึ้นสำหรับการอัปเดตส่วนขยายหรือไม่
