Uma nova onda da família de malware conhecida como GlassWorm voltou a evidenciar quão frágil pode ser a cadeia de fornecimento do software para desenvolvedores. Nesta ocasião, os atacantes comprometeram-se a conta de um autor legítimo no Open VSX — o registro de extensões alternativa e de código aberto para editores baseados no Visual Studio Code — e publicaram atualizações maliciosas em várias extensões que, em conjunto, superaram as 22.000 downloads antes de serem retiradas.
A análise técnica publicada pela equipe de segurança Socket descreve como os operadores por trás da campanha abusaram da conta identificada como oorzc para injetar o carregador GlassWorm em quatro pacotes do Open VSX: oorzc.ssh-tools, oorzc.i18n-tools-plus, oorzc.mind-map e oorzc.scss-to-css-compile. As versões troceadas foram subidas em 30 de janeiro; até então esses pacotes estavam disponíveis sem incidências durante aproximadamente dois anos, sugerindo que os atacantes obtiveram acesso ao ambiente de publicação do desenvolvedor e o aproveitaram para propagar o malware.
GlassWorm é projetado para atacar exclusivamente macOS Nesta campanha, demonstra um amplo leque de capacidades de espionagem. O malware download e executa um extrator de informações que estabelece persistência por um LaunchAgent para executar no início de sessão, e busca dados sensíveis na equipe: credenciais de navegadores Chromium e Firefox, extensões e aplicativos de carteira criptográficas, entradas do chaveiro do macOS, bases de dados da Apple Notes, cookies do Safari, segredos de desenvolvimento e documentos locais. De acordo com o Socket, todas as informações coletadas foram enviadas para uma infraestrutura controlada pelos atacantes no endereço IP 45.32.150[.]251.
Além do roubo de dados, o GlassWorm incorpora funções que facilitam o controle remoto e o movimento lateral: suporte VNC para acesso gráfico remoto e a capacidade de funcionar como proxy SOCKS, o que permite aos atacantes encaminhar tráfego através da máquina comprometida. Em campanhas anteriores, a família GlassWorm já tinha mostrado técnicas para ocultar código malicioso por caracteres Unicode “invisíveis” e tentou detectar e interferir com aplicações de hardware wallets como Trezor e Ledger, o que denota uma evolução constante de suas capacidades para atacar fundos cripto e ambientes de desenvolvimento.
Um detalhe técnico curioso e atrativo é o mecanismo de comando e controle observado: os operadores extraem instruções desde os memos de transações da rede Solana. Este tipo de canal de controle distribuído, usando blockchains públicas para transmitir ordens, complica o rastreamento tradicional e traz resiliência à infraestrutura dos atacantes. Socket também detectou verificações do ambiente no código; entre elas, a exclusão explícita de sistemas configurados em russo, uma prática que às vezes se interpreta como indício de que os autores tentam evitar vítimas em sua própria região.
A resposta do ecossistema foi rápida: Socket notificou a incidência à Eclipse Foundation, responsável pelo Open VSX, e a equipe da plataforma confirmou o acesso não autorizado, revogou os tokens de publicação comprometidos e eliminou as versões infectadas das extensões. Em um caso particular, oorzc.ssh-tools foi eliminado por completo do registro após a confirmação de que continha múltiplos lançamentos maliciosos. Hoje, as versões públicas dessas extensões foram limpas, mas isso não apaga o risco para aqueles que instalaram as atualizações comprometidas durante o período em que estiveram ativas. Para uma leitura adicional e cobertura jornalística, BleepingComputer documenta a campanha e seu impacto: BleepingComputer — GlassWorm em Open VSX.
Se você instalar alguma das versões afetadas, há passos práticos que convém tomar imediatamente. Primeiro, assume que a equipe foi comprometida: realiza uma análise completa e elimina arquivos e agentes suspeitos – os LaunchAgents no macOS são um ponto chave para revisar – e considera o uso de ferramentas de detecção e limpeza específicas para macOS. Segundo, muda e rota senhas, chaves API e tokens, e habilita a autenticação multifator em todos os serviços onde possível; para desenvolvedores, revogar e retornar a emitir tokens de publicação nos registros de extensões é essencial. Terceiro, revisa qualquer wallet de criptomoedas que tenha usado nessa equipe: se uma chave privada ou frase semente esteve exposta, as recomendações de segurança obrigam a mover os fundos para uma wallet nova e segura. A Apple oferece guias gerais de segurança em seus dispositivos que podem ajudar a se orientar: Documentação de Segurança da Apple.
Este incidente lembra que a confiança na cadeia de fornecimento de software é um elo crítico para a segurança. Extensões e plugins são código que executamos em ambientes de desenvolvimento e produção; um único pacote comprometido pode filtrar segredos de infraestrutura, credenciais de repositórios e dados sensíveis. Projectos como o Open VSX permitem uma alternativa aberta aos mercados oficiais, mas não eliminam a necessidade de controlos adicionais: assinar releases, auditar processos de publicação, limitar permissões e manter a rotação de segredos são medidas que ajudam a reduzir o impacto se um actor malicioso tiver acesso a uma conta legítima.
Para entender melhor como funcionam as transações em Solana e por que seu uso como canal de controle é relevante, a documentação oficial do projeto fornece contexto técnico sobre o formato e os memos: Documentação de transações em Solana. E se você for responsável pela segurança de pacotes e extensões, considere implementar auditorias de integridade e políticas de publicação mais rigorosas; os operadores de registries e plataformas devem melhorar a detecção de publicações atípicas e facilitar a revogação rápida de credenciais comprometidas.
A lição é clara: a segurança do desenvolvedor já não é apenas uma questão de higiene pessoal, mas sim uma responsabilidade coletiva. Um pacote com milhares de downloads pode se tornar um vetor de exfiltração massiva se um atacante conseguir publicar uma atualização maliciosa. Manter-se informado, monitorar os registros de atividade, rotar segredos e aplicar controles técnicos de publicação são práticas que hoje são indispensáveis para reduzir o risco de um GlassWorm futuro voltar a se espalhar.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
Extensões maliciosas do VS Code: o ataque que expôs 3.800 repositórios internos
O GitHub confirmou que um dispositivo de um funcionário comprometido através de uma extensão maliciosa do Visual Studio Code permitiu a ex-filtração de centenas ou milhares de r...
Grafana expõe a nova face da segurança: ataques à cadeia de fornecimento que expuseram tokens, repositórios internos e dependências npm
Grafana Labs confirmou em 19 de maio de 2026 que a intrusão detectada no início do mês não comprometeu sistemas de produção nem a operação de Grafana Cloud, mas afetou seu entor...