Mensagem do Gate News, 28 de Abril — Investigadores de segurança identificaram 73 extensões maliciosas plantadas pelo malware GlassWorm no registo do OpenVSX, com seis já activadas para roubar as carteiras de criptomoeda e as credenciais dos programadores. As extensões foram carregadas como cópias falsas de listagens legítimas, com código malicioso injectado através de actualizações posteriores.
O GlassWorm surgiu pela primeira vez em Outubro de 2025, usando caracteres Unicode invisíveis para ocultar código que visa dados de carteiras cripto e credenciais de programadores. A campanha espalhou-se desde então por pacotes npm, repositórios GitHub, o Visual Studio Code Marketplace e o OpenVSX. Em meados de Março de 2026, uma vaga importante afectou centenas de repositórios e dezenas de extensões, levando à intervenção de vários grupos de investigação em segurança. Os atacantes empregam uma estratégia de activação diferida: distribuem primeiro extensões limpas para criar uma base de instalação, antes de disponibilizarem malware através de actualizações. Investigadores de Socket identificaram três métodos de entrega: carregar um segundo pacote VSIX a partir do GitHub via comandos de CLI, implementar módulos compilados específicos da plataforma como ficheiros .node que contêm a lógica maliciosa central, e usar JavaScript fortemente ofuscado que descodifica em tempo de execução para descarregar e instalar cargas maliciosas.
A ameaça estende-se para além do OpenVSX. A 22 de Abril, o registo npm hospedou temporariamente uma versão maliciosa da CLI do Bitwarden sob o nome de pacote oficial durante 93 minutos. O pacote comprometido roubou tokens do GitHub, tokens npm, chaves SSH, credenciais da AWS e da Azure, e segredos do GitHub Actions. A Bitwarden, que serve mais de 10 milhões de utilizadores em mais de 50.000 empresas, confirmou a ligação a uma campanha mais ampla acompanhada por investigadores da Checkmarx. Os ataques à cadeia de abastecimento exploram o atraso entre a publicação do pacote e a verificação do conteúdo; a Sonatype reportou aproximadamente 454.600 pacotes maliciosos a infestar os repositórios em 2025.
A Socket recomenda que os programadores que tenham instalado qualquer uma das 73 extensões assinaladas no OpenVSX rodem todas as credenciais (secrets) e limpem os seus ambientes de desenvolvimento. Observadores de segurança estão a monitorizar se as restantes 67 extensões dormentes serão activadas nos próximos dias e se o OpenVSX implementa controlos de revisão mais rigorosos para actualizações de extensões.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O Protocolo de Empréstimos em Bitcoin Tropykus encerra, as funções de depósitos e de empréstimos deixam de funcionar a 27 de julho
Mensagem de Notícias da Gate, 29 de abril — O protocolo de empréstimos em Bitcoin Tropykus anunciou o encerramento faseado da sua versão atual, com as funções de depósitos e de empréstimos a serem descontinuadas permanentemente. Os utilizadores podem levantar fundos e liquidar empréstimos até 27 de julho de 2026, após o que as interações serão apenas suportadas
GateNews4m atrás
Utilizador Perde ~$1M em yvWETH Depois de Autorizar um Contrato Não Verificado
Mensagem de Gate News, 29 de abril — Um utilizador sofreu uma perda de aproximadamente $1 milhões em yvWETH, uma posição do Alchemix Yearn Vault, depois de ter autorizado um contrato não verificado mais cedo, segundo o monitoramento da PeckShield.
O contrato não verificado foi criado há 10 dias e contém uma vulnerabilidade que pode ser explorada para executar chamadas arbitrárias, permitindo que os atacantes esvaziem os saldos de tokens autorizados.
GateNews19m atrás
Carteira de Bitcoin do Cofundador da ASOS Esvaziada de ~$4M Após a Morte na Tailândia
Mensagem do Gate News, 29 de abril — Na sequência da morte do cofundador da ASOS, Quentin Griffiths, que caiu de um edifício na Tailândia, cerca de $4 milhões em Bitcoin foram transferidos para fora da sua carteira ao longo de vários dias, em três transações separadas, para endereços desconhecidos.
O filho mais velho de Griffiths, Joel,
GateNews41m atrás
Cofre YieldCore-3rd-deal do Trading Protocol explorado por $398K
Mensagem do Gate News, 29 de abril — O cofre YieldCore-3rd-deal do Trading Protocol foi explorado num ataque que resultou na perda de aproximadamente $398.000, segundo o analista on-chain PeckShield. O ataque explorou uma vulnerabilidade de verificação em falta de permissões do chamador no contrato inteligente do cofre,
GateNews57m atrás
Cidadão Francês Condenado a 8 Anos de Prisão por Lavagem de Dinheiro de Mais de $470 Milhões Através de Sociedades de Fachada e Contas de Cripto
Mensagem de Notícias da Gate, 29 de abril — Um cidadão franco-argentino, Maximilien de Hoop Cartier, foi condenado a oito anos de prisão por operar uma bolsa de criptomoedas não licenciada e por lavagem de mais de $470 milhões através de sociedades de fachada e contas de cripto, segundo o Departamento de Justiça dos EUA.
GateNews1h atrás
Utilizadores do Robinhood Visados por uma Campanha de Phishing que Explora a Funcionalidade de Alias com Pontos do Gmail
Mensagem de Gate News, 28 de abril — Os utilizadores do Robinhood foram visados por uma campanha de phishing que explorou a funcionalidade de "alias com pontos" do Gmail, juntamente com fraquezas no processo de criação de contas da plataforma. Os atacantes registaram contas falsas do Robinhood com endereços de e-mail ligeiramente alterados, tirando partido do comportamento do Gmail de ignorar pontos nos nomes de utilizador para encaminhar e-mails gerados pelo sistema para a caixa de entrada de utilizadores legítimos.
GateNews6h atrás
