Campanha GlassWorm evolui com novo malware para IDEs

BR Defense Center (By River de Morais e Silva)
malware

Pesquisadores de cibersegurança identificaram uma nova evolução da campanha GlassWorm, que utiliza um dropper Zig para infectar ambientes de desenvolvimento integrados (IDEs) em máquinas de desenvolvedores. A técnica foi encontrada em uma extensão do Open VSX chamada ‘specstudio.code-wakatime-activity-tracker’, que se disfarça como uma ferramenta legítima, WakaTime, usada para monitorar o tempo de programação. A extensão, que já não está disponível para download, inclui um binário nativo compilado em Zig que, ao ser executado, busca IDEs compatíveis no sistema, como Microsoft Visual Studio Code e suas variantes.

O binário malicioso baixa uma extensão VS Code (.VSIX) controlada por atacantes, chamada ‘floktokbok.autoimport’, que se apresenta como uma extensão legítima com mais de 5 milhões de instalações. Após ser instalada, essa extensão maliciosa evita a execução em sistemas russos, se conecta à blockchain Solana para obter um servidor de comando e controle (C2), exfiltra dados sensíveis e instala um trojan de acesso remoto (RAT), que por sua vez implanta uma extensão de roubo de informações no Google Chrome. Usuários que instalaram as extensões mencionadas devem considerar suas contas comprometidas e alterar todas as credenciais.

Fonte: https://thehackernews.com/2026/04/glassworm-campaign-uses-zig-dropper-to.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
10/04/2026 • Risco: ALTO
MALWARE

Campanha GlassWorm evolui com novo malware para IDEs

RESUMO EXECUTIVO
O ataque da campanha GlassWorm representa uma ameaça significativa para desenvolvedores, com um vetor de ataque que utiliza extensões maliciosas para comprometer IDEs. A instalação de um trojan de acesso remoto e a exfiltração de dados sensíveis podem resultar em sérias consequências financeiras e legais.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras devido a roubo de dados e interrupção de serviços.
Operacional
Exfiltração de dados sensíveis e instalação de um trojan de acesso remoto.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']

📊 INDICADORES CHAVE

Mais de 5 milhões de instalações da extensão legítima que foi imitada. Indicador
Extensão maliciosa foi baixada de uma conta controlada por atacantes no GitHub. Contexto BR
O malware evita execução em sistemas russos. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar se a extensão 'specstudio.code-wakatime-activity-tracker' ou 'floktokbok.autoimport' está instalada.
2 Remover as extensões maliciosas e alterar todas as credenciais de acesso.
3 Monitorar atividades suspeitas em sistemas e redes, especialmente em IDEs.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de ferramentas de desenvolvimento amplamente utilizadas, que podem ser alvos de ataques sofisticados.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD devido ao potencial vazamento de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).