Pesquisadores em cibersegurança descobriram uma nova volta de tuerca na campanha conhecida como GlassWorm: uma extensão maliciosa para ambientes de desenvolvimento que incorpora um “dropper” compilado em Zig com a missão aparente de infectar silenciosamente todos os IDEs instalados na equipe do desenvolvedor.
A amostra apareceu no Open VSX sob o nome specstudio.code-wakatime-activity-tracker, tentando passar por WakaTime, a ferramenta que registra o tempo que você passa programando. A extensão já não está disponível para download, mas a descoberta deixou claro uma tática preocupante: a inclusão de binários nativos compilados junto ao código JavaScript da extensão, os quais são carregados como complementos nativos de Node e saem do confinamento habitual do sandbox de JavaScript, obtendo assim acesso a operações a nível de sistema.
Em termos práticos, o binário que acompanha a extensão atua como uma peça de “inendereço” muito discreta. Os arquivos chamados win.node no Windows ou mac.node no macOS são livres partilhados que são carregados no runtime de Node.js e procuram ativamente outros IDEs que possam aceitar extensões compatíveis com o VS Code. Essa busca não se limita a Visual Studio Code e sua versão Insiders: também abrange forks e editores derivados, como VSCodium, e até algumas ferramentas de programação potenciadas por IA que integram a compatibilidade com extensões.
Uma vez que o binário detecta objetivos, baixe de uma conta controlada pelo atacante um pacote .VSIX malicioso. Esse pacote suplanta uma extensão legítima muito popular chamada autoimport (a original está publicada como Tuoates.autoimport no Marketplace do Visual Studio). O instalador escreve o .VSIX numa localização temporária e instala-o silenciosamente em cada editor usando as ferramentas de linha de comandos que cada IDE fornece para instalar extensões de arquivos VSIX; um fluxo que qualquer desenvolvedor pode reconhecer se instalou extensões manualmente alguma vez (mais informações sobre a instalação do VSIX está disponível na documentação oficial do VS Code: code.visualstudio.com).
O ciclo de infecção não termina com a simples instalação: a segunda extensão atua como um dropper mais capaz. De acordo com a análise, evita-se executar em sistemas localizados na Rússia, consulta a blockchain de Solana para obter o endereço do servidor de comando e controle (C2) — um método que aproveita a natureza pública e resistente à censura das blockchains —, recolhe dados sensíveis do ambiente de desenvolvimento, e exibe um trovão de acesso remoto (RAT). Esse RAT continua a cadeia atacante instalando uma extensão para o Google Chrome desenhada para roubar informações armazenadas no navegador.
Esta evolução do crime digital destaca vários pontos críticos para qualquer pessoa que desenvolva software. Primeiro, as extensões já não são apenas scripts: podem incluir componentes nativos que operam fora da caixa de areia e, portanto, aumentam consideravelmente o alcance do que um pacote malicioso pode fazer em um sistema. Segundo, a técnica de distribuir um instalador que se replica silenciosamente em múltiplos IDEs converte aos ambientes de desenvolvimento em um vetor de movimento lateral ideal para atacantes que buscam credenciais, tokens ou segredos com os quais pivotar outros recursos.
Se você trabalha com ferramentas como WakaTime ou instala extensões de repositórios de terceiros, convém extremar as precauções. O incidente evidencia que os atacantes usam plataformas legítimas como Open VSX ou repositórios públicos como o GitHub para hospedar e distribuir cargas maliciosas aparentemente inócuas; por isso é fundamental verificar sempre a proveniência de uma extensão, rever seu código quando possível e preferir fontes oficiais e de confiança. Para contextualizar como esses incidentes são relatados e analisados na comunidade, meios especializados e equipamentos de resposta documentaram casos semelhantes em que extensões ou pacotes abusam de serviços legítimos para persistir ou expandir sua infecção (ver cobertura em sites de referência como Bleeping Computer ou The Hacker News).
Se você acha que seu ambiente pode ser afetado por alguma destas extensões — por exemplo, se você instalou specstudio.code-wakatime-activity-tracker ou a extensão que suplanta autoimport—, o prudente é assumir compromisso e agir com rapidez. A resposta deve incluir a desinstalação das extensões suspeitas, a busca e eliminação de binários nativos relacionados, a verificação de extensões instaladas em todos os editores e a revisão de extensões de navegador instaladas recentemente. Também é imprescindível rodar qualquer segredo que tenha sido armazenado ou acessível a partir dos IDEs (tokens de acesso, chaves API, credenciais de repositórios, etc.) e revogar aqueles que não possam ser garantidos como não comprometidos.
Para além da ação imediata, há lições a médio prazo para equipes e organizações: minimizar a exposição de segredos no código, usar gestores de segredos e políticas que reduzam privilégios desnecessários, auditar regularmente as extensões permitidas em ambientes corporativos e empregar detecção especializada que monitore execuções de binários nativos ou instalações massivas de extensões. A natureza pública de certas infra-estruturas, como a blockchain de Solana, está sendo aproveitada por atacantes para orquestrar comunicações de C2; entender essas táticas ajuda a formular respostas mais eficazes (documentação oficial sobre Solana em docs.solana.com).
O ecossistema do desenvolvimento é valioso e, portanto, atraente para os criminosos informáticos. As ferramentas que mais facilitam o trabalho cotidiano também podem se tornar vetores de risco se não se combinarem boas práticas técnicas com vigilância constante. Neste contexto, manter uma atitude crítica contra extensões e componentes de terceiros, e aplicar controles básicos de segurança, continua sendo a melhor defesa frente a campanhas que buscam infiltrar-se com aparências legítimas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...