Campanha de malware GlassWorm compromete repositórios Python no GitHub

BR Defense Center (By River de Morais e Silva)
malware

A campanha de malware GlassWorm está em andamento, utilizando tokens do GitHub roubados para injetar código malicioso em centenas de repositórios Python. O ataque, identificado pela StepSecurity, afeta projetos como aplicativos Django, códigos de pesquisa em ML e pacotes do PyPI. Os invasores acessam contas de desenvolvedores, reescrevendo os commits legítimos com código obfuscado, mantendo a mensagem original. As injeções começaram em 8 de março de 2026, após a instalação de malware em sistemas de desenvolvedores por meio de extensões maliciosas do VS Code. O código malicioso, que verifica se o sistema está configurado para o idioma russo, baixa payloads adicionais projetados para roubar criptomoedas e dados. A campanha, chamada ForceMemo, destaca a evolução das táticas dos atacantes, que agora utilizam métodos de injeção que não deixam rastros visíveis no GitHub. A StepSecurity observa que a infraestrutura de comando e controle (C2) associada ao ataque já tinha transações registradas desde novembro de 2025, indicando um planejamento de longo prazo. Essa nova abordagem de ataque, que reescreve o histórico do git, representa um risco significativo para a segurança da cadeia de suprimentos de software.

Fonte: https://thehackernews.com/2026/03/glassworm-attack-uses-stolen-github.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
17/03/2026 • Risco: CRITICO
MALWARE

Campanha de malware GlassWorm compromete repositórios Python no GitHub

RESUMO EXECUTIVO
A campanha GlassWorm representa uma ameaça significativa à segurança de repositórios de código, com um método de injeção que não deixa rastros visíveis. A capacidade de reescrever o histórico do git e a utilização de extensões maliciosas tornam este ataque particularmente perigoso para empresas que dependem de repositórios do GitHub.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido ao roubo de criptomoedas e dados.
Operacional
Roubo de criptomoedas e dados sensíveis.
Setores vulneráveis
['Tecnologia', 'Desenvolvimento de Software', 'Financeiro']

📊 INDICADORES CHAVE

Mais de 151 repositórios comprometidos. Indicador
50 transações registradas no endereço C2. Contexto BR
Injeções começaram em 8 de março de 2026. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a integridade dos repositórios Python e a presença de código malicioso.
2 Desabilitar extensões do VS Code não verificadas e revisar as permissões de acesso às contas do GitHub.
3 Monitorar transações no endereço C2 e atividades suspeitas em repositórios.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança da cadeia de suprimentos de software, especialmente em um cenário onde repositórios populares estão sendo comprometidos.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e à proteção de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).