Um novo alerta de segurança evidencia o frágil que pode ser a cadeia de distribuição de código: atores maliciosos conseguiram manipular atualizações legítimas alojadas no registro Open VSX para propagar um carregador de malware conhecido como GlassWorm. A pesquisa publicada pela assinatura Socket descreve como extensões mantidas por um desenvolvedor legítimo foram atualizadas com versões contaminadas que, antes de sua eliminação, tinham acumulado dezenas de milhares de downloads.
Open VSX é uma plataforma aberta para publicar extensões compatíveis com editores tipo Visual Studio Code, e seu ecossistema facilita que ferramentas úteis de produtividade e utilidades do dia a dia cheguem a programadores de todo o mundo. Precisamente essa confiança e esse alcance é o que tornam este tipo de repositórios em objetivos atrativos para atacantes que querem maximizar o impacto de seu código malicioso. A explicação técnica e a análise forense do incidente podem ser consultadas no relatório publicado por Socket aqui, e o repositório afetado também registrou discussão pública no GitHub sobre a intrusão nesta incidência.
De acordo com a análise disponível, o mecanismo de ataque não foi a criação de pacotes falsos com nomes semelhantes ou uma fraude de typosquatting nesta ocasião: os atacantes teriam obtido acesso às credenciais de publicação de um desenvolvedor real e usaram essa conta para aumentar versões maliciosas de extensões já populares. Por esse motivo as amostras passaram relativamente desapercebidas no início, até que o comportamento malicioso foi detectado e as versões comprometidas foram eliminadas do registro.
O software entregue nas atualizações atua como um carregador: ou seja, um componente projetado para decifrar e executar código adicional em tempo de execução. Socket relaciona estas cargas com a família GlassWorm, que emprega técnicas cada vez mais sofisticadas para esconder suas comunicações e servidores de comando e controle. Entre essas técnicas figura o que os pesquisadores descrevem como “EtherHiding” e o uso de memos na rede de Solana como um mecanismo dinâmico para publicar pontos de contato alternativos sem necessidade de voltar a distribuir a extensão maliciosa.
O comportamento do malware evidencia uma fase de reconhecimento antes de se ativar: o código avalia o ambiente da máquina vítima e evita detonar se detectar uma configuração local da Rússia ou territórios afins, uma prática habitual entre campanhas atribuídas a atores de fala russa que buscam reduzir a possibilidade de ação legal contra os seus. Quando a execução continua, o objetivo principal do ator é a coleta de credenciais e dados sensíveis.
As peças de informação que o GlassWorm procura abrangem desde credenciais e cookies de navegadores – tanto do Firefox como de navegadores baseados em Chromium, incluindo extensões de carteiras Web3 como MetaMask – até arquivos de carteiras de criptomoedas (por exemplo, Electrum, Exodus, e soluções de hardware/software como Ledger Live e Trezor Suite). Além disso, de acordo com a pesquisa, o carregador tenta extrair dados do chaveiro do iCloud, cookies do Safari, notas e documentos locais, configurações de clientes VPN (se cita FortiClient) e artefatos usados por desenvolvedores, como configurações de npm com tokens de autenticação ou credenciais do GitHub que poderiam permitir acessar repositórios privados e segredos de CI/CD.
Robar acesso a ferramentas de desenvolvimento e credenciais na máquina de um desenvolvedor é especialmente perigoso porque facilita movimentos laterais e compromissos de contas na nuvem: com um token ou uma chave privada podem ser executadas implantaçãos, acessar infraestrutura ou ativar máquinas que afetam toda uma organização. Por isso, os especialistas sublinham que a ameaça não é apenas individual, mas sim de carácter empresarial.
Outro aspecto relevante do incidente é como o atacante procura confundir-se com os fluxos normais de trabalho do desenvolvedor. Em vez de se basear apenas em indicadores estáticos —hashes ou URLs específicos que mudam com frequência — o operador do malware usa cargas cifradas que são descodificadas em memória e infraestrutura de controle que rota por sinais públicos em blockchain, o que dificulta a detecção tradicional baseada em assinaturas e eleva a necessidade de detecção por comportamento e resposta ágil. Socket explica estas táticas e a dificuldade que implicam para defensores em seu relatório aqui.
Para usuários e administradores a receita de mitigação passa por medidas em várias frentes: revisar e revogar credenciais comprometidas, forçar a rotação de tokens e chaves, ativar a autenticação multifator para contas de publicação e repositórios, e auditar os ambientes de CI/CD por artefatos suspeitos. Também é importante monitorar comportamentos atípicos em endpoints, como processos que decifram e executam blobs em memória ou conexões para domínios/esquemas não habituais. Recursos institucionais de segurança da cadeia de abastecimento e boas práticas podem ser consultados em páginas oficiais como a da CISA sobre segurança na cadeia de fornecimento aqui, e a documentação sobre gestão de segredos e segurança em plataformas de desenvolvimento é útil para reduzir riscos.
Para os desenvolvedores que publicam extensões, a lição é dupla: proteger o processo de publicação com controles robustos, e supor que qualquer artefato que chegue ao usuário final pode ser auditado e revertido rapidamente. Manter cópias verificadas dos pacotes, registrar e limitar Tokens de publicação, revisar registros de acesso e empregar digitalização automática de dependências são práticas que reduzem a janela de exposição. O GitHub e outros fornecedores oferecem guias de segurança aplicáveis a esses cenários; é aconselhável rever e aplicá-las nos fluxos de trabalho.
Em última análise, este incidente lembra que a segurança do software não começa nem termina no código que escrevemos: a confiança nas ferramentas e nas cadeias de distribuição é crítica Deve ser gerida com a mesma seriedade que a protecção das infra-estruturas. Para quem quiser aprofundar os detalhes técnicos e as evidências do caso, a análise de Socket e a discussão do repositório afetado oferecem um ponto de partida fidedigno: Relatório do Socket, o no GitHub e a página do registo Open VSX para seguir as ações tomadas pela comunidade.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...